系统 : Windows xp

程序 : 某游戏客户端

程序下载地址 :不提供

要求 : 远程注入 & 获取MD5值

使用工具 : vc++6.0 & OD

案例说明:

该游戏客户端对自身进行散列计算,并将md5值打包加密发给服务端。由于客户端本体带有病毒和压缩壳,索性采用硬件断点,和Debug API获取该MD5的内存地址。

逆向该客户端:

客户端启动时,先初始化md5内存:

00419DE4    B9      mov     ecx,

00419DE9    33C0            xor     eax, eax

00419DEB    8DBD B8610200   lea     edi, dword ptr [ebp+261B8]

00419DF1    F3:AB           rep     stos dword ptr es:[edi]          ; (initial cpu selection)

然后开始计算散列值:

004EA3E2    BE B8610200     mov     esi, 261B8

004EA3E7    33D2            xor     edx, edx

004EA3E9    8D45 EE         lea     eax, dword ptr [ebp-]

004EA3EC    8A543D B4       mov     dl, byte ptr [ebp+edi-4C]

004EA3F0                  push    edx

004EA3F1     E06D5300     push    00536DE0                         ; %02x

004EA3F6                  push    eax

004EA3F7    E8 ABEE0100     call    005092A7

004EA3FC    8B15 943C5400   mov     edx, dword ptr [543C94]

004EA402    :8B4D EE      mov     cx, word ptr [ebp-]

004EA406    83C4 0C         add     esp, 0C

004EA409                  inc     edi

004EA40A    :890C16       mov     word ptr [esi+edx], cx

004EA40E    83C6          add     esi,

004EA411    81FE D8610200   cmp     esi, 261D8

004EA417  ^ 7C CE           jl      short 004EA3E7

跳出循环后,md5值就计算完毕了。我们利用DebugAPI模拟以上操作就可以。

但是要注意一点,传参 DEBUG_PROCESS | DEBUG_ONLY_THIS_PROCESS调用CreateProcess函数会将exe占用。这时,程序打开自身的CreateFile函数将失败:

0012FC98   004EA381  /CALL to CreateFileA from xxx.004EA37F

0012FC9C   0012FCC4  |FileName = "xxx.exe"

0012FCA0   80000000  |Access = GENERIC_READ

0012FCA4   00000000  |ShareMode = 0

0012FCA8   00000000  |pSecurity = NULL

0012FCAC   00000003  |Mode = OPEN_EXISTING

0012FCB0   00000000  |Attributes = 0

0012FCB4   00000000  \hTemplateFile = NULL

解决办法很简单,将ShareMode改成FILE_SHARE_READ即可。

最后整理一下我们分析的结果:

1.对程序下硬件断点,保存md5的内存地址。

2.patch掉ShareMode,改为0x01(FILE_SHARE_READ)。

3.对计算完md5之后的指令下断,并读取md5.

部分实现代码:

//用于createprocess的两个参数

    STARTUPINFO si;

    PROCESS_INFORMATION pi;

    ZeroMemory(&si, sizeof(STARTUPINFO));

    ZeroMemory(&pi, sizeof(PROCESS_INFORMATION));

    si.cb = sizeof(STARTUPINFO);

    char ReadBuffer[] = {};

    bool WhileDoFlag = true;

    //创建进程

    if ( !CreateProcess( FileName,NULL,NULL,NULL,FALSE,

        DEBUG_ONLY_THIS_PROCESS | DEBUG_PROCESS,NULL,NULL,&si,&pi ) ){

        MessageBox( "打开程序失败!" );

        DWORD dwRet = GetLastError();

        CString strText(_T(""));

        strText.Format(_T("%d"), dwRet);

        AfxMessageBox("错误代码:"+strText);

        return ;

    }

    m_Pi = pi;

    DEBUG_EVENT DBEvent;

    CONTEXT Regs;

    DWORD dwSSCnt = ;

    //存放md5地址

    DWORD READ_ADDRESS;

    Regs.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS ;

    //设置程序在Single Step模式下执行

    GetThreadContext( pi.hThread,&Regs );

    Regs.EFlags |= 0x100;

    SetThreadContext( pi.hThread,&Regs );

    ResumeThread( pi.hThread );

    while (WhileDoFlag) {

        WaitForDebugEvent (&DBEvent, INFINITE);

        switch (DBEvent.dwDebugEventCode)

        {

        case    EXCEPTION_DEBUG_EVENT:

            switch (DBEvent.u.Exception.ExceptionRecord.ExceptionCode)

            {

            case    EXCEPTION_SINGLE_STEP :

                {

                    ++dwSSCnt ;

                    if (dwSSCnt == )

                    {

                        //当收到第一个EXCEPTION_SINGLE_STEP异常信号,表示中断在程序的第一条指令,即入口点

                        //把Dr0设置成程序的入口地址

                        GetThreadContext(pi.hThread,&Regs);

                        Regs.Dr0=Regs.Eax;

                        Regs.Dr7=0x101;

                        SetThreadContext(pi.hThread,&Regs);

                    }

                    else if (dwSSCnt == )

                    {

                        //第二次中断在起先设置的入口点,在BP_MOLLC处设置硬件断点

                        GetThreadContext(pi.hThread, &Regs) ;

                        Regs.Dr0 = BP_MOLLC;

                        Regs.Dr7 = 0x101 ;

                        SetThreadContext(pi.hThread, &Regs) ;

                    }

                    else if (dwSSCnt == )

                    {

                        //第三次中断,己到指定的地址,读取EDI寄存器的数据

                        GetThreadContext(pi.hThread, &Regs) ;

                        Regs.Dr0 = BP_INITMD5;

                        Regs.Dr7 = 0x101 ;

                        READ_ADDRESS = Regs.Edi;

                        BYTE NewMode = 0x01;

                        int a = WriteProcessMemory( pi.hProcess,(LPVOID)SET_SHAREMODE,&NewMode,, );

                        SetThreadContext(pi.hThread, &Regs) ;

                        /*

                        //挂起进程

                        SuspendThread( pi.hThread );

                        //通知进程异常已处理

                        ContinueDebugEvent(DBEvent.dwProcessId, DBEvent.dwThreadId, DBG_CONTINUE) ;

                        //卸载调试器

                        int a = _DebugSetProcessKillOnExit( FALSE );

                        int b = _DebugActiveProcessStop(DBEvent.dwProcessId);

                        //最后运行线程

                        ResumeThread( pi.hThread );

                        //int b = GetLastError();

                        WhileDoFlag=FALSE;

                        */

                    }

                    else if (dwSSCnt == )

                    {

                        //第四次中断,MD5算出,读取数据.

                        GetThreadContext(pi.hThread, &Regs) ;

                        Regs.Dr0 = Regs.Dr7 =  ;

                        ReadProcessMemory( pi.hProcess,(LPVOID)READ_ADDRESS,ReadBuffer,,NULL );

                        SetDlgItemText( IDC_EDITMD5,ReadBuffer );

                        SetThreadContext(pi.hThread, &Regs) ;

                    }

                    break;

                }

            }

            break ;

        case    EXIT_PROCESS_DEBUG_EVENT :

                WhileDoFlag=FALSE;

                break ;

        }

        //pi.dwProcessId和pi.dwThreadId 要改成如下的代码

        ContinueDebugEvent(DBEvent.dwProcessId, DBEvent.dwThreadId, DBG_CONTINUE) ;

    } //.end while

劳动节脑洞大开!利用Debug API 获取 加壳客户端的MD5值的更多相关文章

  1. 我的Java开发学习之旅------>工具类:Java获取字符串和文件进行MD5值

    ps:这几天本人用百度云盘秒传了几部大片到云盘上,几个G的文件瞬秒竟然显示"上传成功"!这真让我目瞪口呆,要是这样的话,那得多快的网速,这绝对是不可能的,也许这仅是个假象.百度了一 ...

  2. 如何获取Azure Storage Blob的MD5值

    问题表述 直接使用CloudBlockBlob对象获取的Properties是空的,无法获取到对象的MD5值,后台并未进行属性值的填充 前提:blob属性本省包含md5值,某些方式上传的blob默认并 ...

  3. VS2008 C++ 利用WinHttp API获取Http请求/响应头部Header

    http://www.cnblogs.com/LCCRNblog/p/3833472.html 这一篇博客中,实现了获取http请求/响应后的html源码,现在需要获取http请求/响应的头部Head ...

  4. VS2008 C++ 利用WinHttp API获取任意Http网址的源码

    最近一直在看有关Http的知识,对其基本的理论知识已经有所掌握,想通过一个C++具体的例子进行实际操作..于是上网查找了很多资料,发现在Windows系统上,可以通过WinHttp API接口开啊Ht ...

  5. 爬虫——python——百度地图经纬度查询——经纬度查看地点地名——利用百度API获取地名经纬度——爬取所有的中国地址

    import requests address = '40.8587960,86.866991' url = 'http://api.map.baidu.com/geocoder?output=jso ...

  6. 利用iOS API编写简单微博客户端全过程

    要编写社交网络客户端程序,可以大体上分为4个主要的步骤 下面我们按照这个流程,介绍一下: 1.引入Accounts和Social框架 工 程中需要引入Accounts和Social框架,Account ...

  7. iOS开发,利用文件流,算大文件的MD5值(程序不会导致内存崩溃)

    CFStringRef FileMD5HashCreateWithPath(CFStringRef filePath, size_t chunkSizeForReadingData) { // Dec ...

  8. jni中调用java方法获取当前apk的签名文件md5值

    相应的java方法: void getsign(Context context) throws Exception { PackageInfo localPackageInfo = context.g ...

  9. PHP获取远程http或ftp文件的md5值

    PHP获取本地文件的md5值: md5_file("/path/to/file.png"); PHP获取远程http文件的md5值: md5_file("https:// ...

随机推荐

  1. 【Spring】Spring AOP实现原理

    Spring AOP实现原理 在之前的一文中介绍过Spring AOP的功能使用,但是没有深究AOP的实现原理,今天正好看到几篇好文,于是就自己整理了一下AOP实现的几种方式,同时把代理模式相关知识也 ...

  2. 决战JS(二)

    紧接着上次的<决战JS>,分析总结一些比较实用的DEMO与新手分享,望大神拍砖. demo5.点击隐藏: 要实现这个功能只需要知道在onclick事件中加入对父节点的样式dislay设置为 ...

  3. Android Activity返回键控制的两种方式

    Android Activity返回键监听的两种方式 1.覆写Activity的OnBackPressed方法 官方解释: Called when the activity has detected ...

  4. SQL Server代理(4/12):配置数据库邮件

    SQL Server代理是所有实时数据库的核心.代理有很多不明显的用法,因此系统的知识,对于开发人员还是DBA都是有用的.这系列文章会通俗介绍它的很多用法. 在以前的文章里我们看到,SQL Serve ...

  5. .NET Core爬坑记 1.0 项目文件

    前言: 之所以要写这个系列是因为在移植项目到ASP.NET Core平台的过程中,遇到了一些“新变化”,这些变化有编译方面的.有API方面的,今天要讲的是编译方面的一些问题.我把它们整理后分享出来,以 ...

  6. git gitignore文件失效处理

    这里讲的是使用 git ignore 时候的一种特殊情况   正常你在本地给项目添加了一些文件之后,一般都会自动全部跟踪,但是在这个时候你必须编辑一个ignore文件,把一些不需要跟踪到文件ignor ...

  7. IIS 架构解析

    我们在使用ASP.NET平台做web开发的时候,经常会接触到IIS(Internet Information Services 互联网信息服务).这篇文章主要来介绍IIS7.0+的架构.IIS的安全脆 ...

  8. C#中的可空值类型

    C# 不允许把 null 赋给一个值类型的数据.在 C# 中,以下语句是非法的: int a = null;    // 非法 但是,利用 C# 定义的一个修饰符,可将一个变量声明为一个可空(null ...

  9. 仿Office的程序载入窗体

    初次接触启动界面记不清是在哪一年了,估计是小学四年级第一次打开Office Word的时候吧,更记不清楚当时的启动界面是长啥样了.后来随着使用的软件越来越多,也见到各式各样的启动界面.下面就列举了两个 ...

  10. 微信公众号入门学习2_使用C#,ASP.NET APIController如何被动回复用户消息

    前言: 这里就可以凸显使用APIController的一个优势了,因为可以通过MVC的路由设置相同的路由,但改变请求的方式(HttpPost),可以单独写被动回复接口. 毕竟,微信服务器转入到咱们自己 ...