IDA Pro9.0汇编字符串查找跟踪坚果墙wordscheck结构

已于 2024-08-29 17:42:27 修改
阅读量397 收藏 10
点赞数 3
文章标签: 汇编 经验分享
于 2024-08-29 10:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41019645/article/details/141654900
版权

关注作者:JuruoAssociation 原创于 CSDN
原创不易,谢绝转载。点击支持原文

文章目录

IDA Pro9.0汇编中的字符串查找方法和主入口逐层分析过程。不提供最终资源,仅供学习。参考学习IDA Pro 9.0。

✅观察程序表现

坚果墙wordscheck源文件在github上开源,但是很明显开了个寂寞,放了若干exe、bin和几个客户端请求示例
下载下来的提示要privateKey,一年300比网费还贵。没有privateKey的版本功能非常糟糕,详细版本信息在此处查看
在这里插入图片描述

✅推测检测方式

观察程序运行模式为服务器,且私钥有有效期,私钥应该在启动时被检测

在这里插入图片描述
进一步确定私钥有联网检测。由于没有key并不会退出,推测是修改了变量用于标志是否注册成功,若未注册,后续将会限制功能

✅调试程序

先PEid一下,64位UPX
在这里插入图片描述
解压后再扫,含有GO文件头,然而GO语言不好反编译,还是直接汇编调试
在这里插入图片描述

上IDA Pro9.0,可以通过主入口点逐层分析,也可以通过搜索附近的字符串,前者可以获得更全面的检查信息但费时费力,后者更快捷需要一定经验。

⭐主入口点分析

一共三种视图:Text view传统视窗。Graph view是以函数为单位,从明显的入口点开始,挖到所有的retn位置,然后处理出其中的跳转关系分块。
Graph view
Proximity view将函数在上一步基础进一步集成,将关键元素和各个函数的引用和调用关系上下链接,方便静态查找。
Proximity view
大致思路:目标函数就是那个F8以后开始正常运行并提示你未注册的,然后就重启调试,调试到该函数F7步入下一层。
主入口点逐层分析

备忘录:快捷键自定义非常不方便,默认设置大量冲突,但是开了Legacy就会有传统的快捷键例如F2标记断点,F4运行Cursor,F7F8F9都有。Alt滚轮左右滑动。本程序直接Ctrl+C结束可能会带崩IDA,建议先Detach。

⭐字符串追踪

Text搜索建议购买私钥,没有结果,推测进行了隐藏。
在这里插入图片描述
但附近的privatekey:找到了,后面有个条件WarnLg,测试一下就知道了,确定目标就是qword_1DA2768
在这里插入图片描述
在这里插入图片描述
考虑到这可能是中途变量,直接改多半会引发错误,还是要xref找到写函数
在这里插入图片描述
第一个是企业版标志函数,第三个是标准版检测。如果有做主入口分析可以发现,实际上在loadLicense中的离线key检查也是要先过这个函数(隐隐不对劲?)

在这里插入图片描述
汇编代码如下:

;第1块
mov     rax, cs:qword_1DA14F8
lea     rbx, aServersetmnSha ; "serversetmn;sha bisharp;sha"
mov     ecx, 6
call    gopkg_in_ini_2ev1__ptr_File_Section
lea     rbx, aPrivatekey_2 ; "privatekey"
mov     ecx, 0Ah
call    gopkg_in_ini_2ev1__ptr_Section_Key
mov     rbx, [rax+28h]  ; string
mov     rcx, [rax+30h]
call    gopkg_in_ini_2ev1__ptr_Key_transformValue
mov     [rsp+48h+var_10], rax
mov     [rsp+48h+var_18], rbx
cmp     rbx, 32h ; 如果字符串长度rbx大于0x32就进入报错退出
jle     short loc_854440


;第3块
loc_854440:
cmp     rbx, 17h ; rbx必须是0x17才允许继续第4块
jnz     short loc_8544C5


;第4块
mov     rcx, rax
mov     rdi, rbx
lea     rax, aAZaZ09_0  ; "^[A-Za-z0-9]+$"
mov     ebx, 0Eh
call    regexp_MatchString
nop     dword ptr [rax]
test    al, al ; 只要满足以上正则表达式就执行第6块,否则执行第5块报错退出
jnz     short loc_85448F


;第5块
mov     rax, cs:qword_1DA14F0 ; _ptr_golog_Logger
lea     rbx, aPrivatekeyErro ; "privatekey errorproto: bad UTF-8proxy-c"...
mov     ecx, 10h
xor     edi, edi        ; _slice_interface_
xor     esi, esi
mov     r8, rsi
xchg    ax, ax
call    github_com_davyxu_golog__ptr_Logger_Errorf
mov     eax, 1
call    os_Exit


;第6块
loc_85448F:
mov     rbx, [rsp+48h+var_18]
mov     cs:qword_1DA2768, rbx ; 目标被赋值rbx
cmp     cs:dword_1DFB160, 0
jnz     short loc_8544B2

一眼丁真,不是注册机。不可能只有一个正则表达式匹配,而且跟踪transformValue得到ebx实际上就是字符串长度。也就是说只要长度是0x17,只有大小写字母和数字的字符串就能搞定1DA2768(变成0x17),只能说是个合规性检查,合规就不提醒Warn。
于是瞎编一个23位的字串。
在这里插入图片描述
再跟踪字串data error得到sendVerify函数,最上面检查key有效性,后面跟踪调试见机行事即可
Proximity view
紫色是未注册跳转路线,蓝色是修正后的路线。然后Edit-Patch program-Apply patches to input file即可,注意备份

不存在
不通
无效
有效且版本对应
无效
有效
存在
检查离线key
检查网络
network interrupt
联网检查key
data interrupt
二次验证
disabled interrupt
加载service

没想着离线使用,就只分析了上面的线索,下面离线key检查可能还有其他步骤

✅ 参考资料

IDA Pro实用技巧
IDA Pro&王哥
坚果墙文档

JuruoAssociation
关注
汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA汇编工具,介绍如何使用IDA汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
反编译工具:IDA Pro,用于分析恶意软件的代码逻辑和行为
最新发布
百态老人的博客
04-14 1091
综上所述,IDA Pro作为一款功能强大的逆向工程工具,具有直观的图形化界面、丰富的功能和插件支持,以及广泛的应用领域,是分析恶意软件和进行逆向工程任务的首选工具之一。:IDA Pro提供了强大的逆向工程功能,可以将目标文件反汇编汇编代码,并提供高级的反汇编特性,使得分析者能够深入理解恶意软件的代码逻辑和执行流程。:IDA Pro的开发团队不断更新和改进软件,增加新的特性和改进现有功能,以满足用户对于逆向工程和恶意软件分析的不断变化的需求。
IDA Pro 搜索中文字符串
顺其自然~专栏
01-19 1万+
在Open subviews的子菜单中选择【Strings】 菜单,弹出String window 选择任意列表项,右击,点击Setup,弹窗如图: 对话框勾上 Unicode C-style (16 bits),点击 OK,如下图所示。另外需要注意的是图中最后面的 Minimal string lenght 这个是设置最小的字符串长度的,比如设置为 5,那么长度小于 5 的字符串就显示不出来,这个可以根据不同的情况配置。如果配置的太小了,就会出现很多无意义的数据,可能并不是字符串。 设置..
ida 字符串查找_IDA 搜索中文字符串
weixin_33242139的博客
02-23 4385
IDA字符串窗口默认只能显示英文,网上的一些方法是指定启动时的参数可以显示中文ida64 -DCULTURE=allida -DCULTURE=all还有就是修改 cfg/ida.cfg 文件,但是这两种方法都没试成功。实际上没有那么麻烦,IDA 7.0 操作很方便,在字符串列表窗口右键点击 Setup,如下图所示。对话框勾上 Unicode C-style (16 bits),点击 OK,如...
IDA PRO
weixin_30594001的博客
03-07 407
链接:https://pan.baidu.com/s/1LTXhXra5Honpn3L9rfSOgA 提取码:7bwb 工具下载地址: https://www.jb51.net/softjc/579996.htmlhttps://www.jb51.net/softs/579900.html 主界面工作区显示 1、IDA View-A是反汇编窗口, 2、HexView-A是十六进...
IDA Pro
sinat_36391009的博客
12-15 273
推荐Hex-Rays可以直接反编译为C代码
05.IDA Pro汇编工具初识及逆向工程解密实战1
08-03
Windows PE 第一章开发环境和基本工具使用 - TK13大神160个CrackMe001 - CSDN鬼手大神160个Crackme030之一元一次方程
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记是关于IDApro汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
交互式反汇编IDA Pro
11-13
交互式反汇编IDA Pro (International Disassemble Professional) 使用前请先解压所有文件,并运行 IDAProHelper.exe 进行绿化 另请注意,others目录下面是一些附属文件,如下: 1.如果需要Python3.8支持,请安装...
IDA pro汇编教程合集.zip
01-23
IDA pro汇编教程合集.zip 调试 跟踪 加密 解密 脱壳 插件
IDA Pro 数据库文件
a13824673949的博客
05-07 189
  IDA 的任务是将选定的可执行文件加载到内存中   并对相关部分进行分析   随后, IDA 会建立一个数据库   其组件分别保存在4个文件中   在关闭当前项目时   这4个文件会被存档   你可以选择将它们压缩成一个 IDB 文件   通常人们引用 IDA 数据库时实际上 是引用 IDB文件   如果数据库正常关闭,绝不会在工作目录中看到扩展名为 id0,id1 ...
ida 字符串查找_IDA的常见操作
热门推荐
weixin_29663547的博客
01-13 1万+
IDA-python的使用:常用的apiget_bytes(address,count)从address处读取count个字节的内容patch_bytes(address,buf),将adress地址处patch成buf的内容Xrefsto(address,flags=0) 找到所有引用了adress的地址byte(address) 获取address地址的一个字节的内容一些IDA常用的快捷键:跳...
PWN工具之IDA Pro
CYXMDTT的博客
10-22 1191
由于IDA不提供撤销的功能,如果你不小心按到某个键,导致ida数据库发生了改变,就得重新来过,所以要记得在经常操作的时候,加上快照:file-->take database snapshot。这个功能对于新手来说非常友好,在刚刚初学汇编的时候, 难免遇到几个不常用的蛇皮汇编指令,就得自己一个个去查,很麻烦,开启了自动注释的功能后,IDA就可以直接告诉你汇编指令的意思。在操作IDA的时候,经常会遇到需要创建数组的情况,尤其是为了能方便我们看字符串的时候,创建数组显得非常必要,以下我随便找了个数据来创建数组。
IDA Pro使用
weixin_30872337的博客
07-22 256
当我们的光标在某个函数处时,按回车键就可以跳到这个函数所在的位置: 按回车,跳到这里: 再按回车,跳到导入表: 我们再连续按ESC键就可以返回到刚才进入的地方: 使用快捷键N可以进行重命名: 在数字上按下H键或者右键进行选择,可以将数字转化为十进制: 在按一下相同的键就变回来了。按下B键转换为二进制也是同理。 按下空格键可以使IDA在图形视图和文...
IntelliJ IDEA 9.0 终极版发布了,注册机也出来了!
alfoo的专栏
12-10 1013
IntelliJ IDEA 9终于发布了,IntelliJ IDEA是最受欢迎的Java IDE之一。 如果您没有赶上EAP(Early Access Program)或错过了Beta版本,没关系,此次发布的是一个重大版本! 新功能和改进: 两个版本:社区版-免费开源;Ultimate版-包括100%的IntelliJ IDEA的功能 更快的环境,在启动时的
IDA Pro microcode API
lacoucou的专栏
08-28 2682
1.Microcode是什么? The intermediate language is called microcode. 微码是一种中间语言。 each processor instruction is represented by several microinstructions in the microcode. 每个处理器指令由微代码中的几个微指令表示。 The decom...
(转)IDA 中文字符串
zhangmiaoping23的专栏
05-13 6356
<br />标 题:Ida pro 里的中文字串(菜鸟进来) (2千字)作 者:nULL时 间:2003-4-1 11:22:03链 接:http://bbs.pediy.com<br /> Ida Pro 的默认设置里对中文字串的支持比较差,对于首字节大于'EO'的都显示成?了.其实... <br /> 打开IDA PRO 目录下的IDA.CFG <br /> 看到如下: <br /> .........................cut............
IDA Pro中如何查找字符串
05-11
IDA Pro查找字符串有多种方法。以下是其中的两种方法: 方法一: 1. 点击“View”菜单,选择“Open subviews”并选择“Strings Window”。 2. 在“Strings Window”中可以看到程序中所有的字符串。可以使用搜索框来查找特定的字符串。 方法二: 1. 在IDA Pro中打开程序并分析它。 2. 在IDA Pro的菜单栏中,选择“View”并选择“Open subviews”。 3. 选择“Functions”窗口并选择一个函数。 4. 右键单击该函数并选择“Open function window”。 5. 在函数窗口中,右键单击该函数并选择“Text View”。 6. 在文本视图中,可以找到所有的字符串。使用搜索功能来查找特定的字符串。 无论你使用哪种方法,都可以在IDA Pro中轻松地查找字符串
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值