SoftRCE.net » 乾坤挪移(RCE) http://www.softrce.net Software Reverse Code Engineering Tue, 13 Sep 2011 06:58:40 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 静态分析驱动的一点技巧 http://www.softrce.net/archives/140 http://www.softrce.net/archives/140#comments Sat, 16 May 2009 09:12:36 +0000 dge http://www.softrce.net/?p=140 author:dge

习惯了OD和IDA的组合,也懒的装内核调试器了,好在需要分析驱动的时候特别少,而且只用IDA就可以玩的转。

最近在整驱动的过程中积累了点技巧,把他们记录下来,以慰同菜。

Q:许多软件隐藏了驱动,如何找到它们?
A:其实很简单,隐藏文件肯定是驱动干的,不让驱动的加载,再牛B的隐藏也废了,用SSM拦截驱动的加载是个不错的选择。

Q:如何提高驱动代码可读性?
A:驱动中对IRP,DEVICE_OBJECT,DRIVER_OBJECT和IO_STACK_LOCATION的操作很多,所以把这些结构添加进来,然后把对这些结构的操作进行标识。

Q:如何完成驱动代码的准确定位?
A:一般的驱动都是用DeviceIoControl给驱动发送IRP_MJ_DEVICE_CONTROL类型的IRP来调用驱动中的代码,在驱动中一般先对
IRP_MJ_DEVICE_CONTROL进行处理,然后再细化到处理相应IOCTL的代码,这个IOCTL又是DeviceIoControl的一个参数,所以通过监视DeviceIoControl就可以完成代码的精确定位。

Q:如何来获取这个IOCTL?
A:(1):可以通过调试器对DeviceIoControl下断,不过一般得应付很多反调试,感觉很笨拙。
(2):可以写个监视DeviceIoControl的程序,然后把IOCTL作为日志实时的输出。如果我们想分析软件的某个功能,只要运行软件的某个功能,然后

在日志中找到IOCTL,再在驱动代码中搜索它,就可以完成准确定位了,这个方式感觉比较好,它饶过了反调试。

Q:如何实现监视?
A:其实就是改变DeviceIoControl的流程,inline hook就可以。

Q:还需要什么?
A:一点兴趣,一些体力。

Comments

  • 2009年05月26日, mj0011 writes: 真技巧啊真技巧
  • 2009年06月1日, lammer writes: Q:还需要什么? A:一点兴趣,一些体力。 这个是最重要的·!赞
Copyright © 2008
This feed is for personal, non-commercial use only.
The use of this feed on other websites breaches copyright. If this content is not in your news reader, it makes the page you are viewing an infringement of the copyright. (Digital Fingerprint:
8e761b2ea8edc3ca311452b020051837)

随机日志

]]> http://www.softrce.net/archives/140/feed 2 Symbian S60 3rd Reverse CrAcKiNg Tutorial http://www.softrce.net/archives/114 http://www.softrce.net/archives/114#comments Fri, 01 May 2009 01:39:09 +0000 caterqiu http://www.softrce.net/?p=114 作者:Cater.Qiu

得去年 Cater 曾经在某群里说过要写六个手机平台的解密教程

只是 Cater 真的好忙 好辛苦的说

Symbian 是我06年久接触了,那个时候S60 2nd 版本的手机有碰过

感觉 ARM 的汇编指令也不是很难,也过了几个软件

时隔今日,塞班 S60 三版的(OS 9.x)的系统也总结总结些个教程

满足下 某人 总是威逼 小 Cater 的野兽般的欲望吧。

Symbian S60 3rd

 

 

Reverse CrAcKiNg Tutorial

 

By_CaterQiu

 

 

 

 

Mail: Cater.Qiu[At]Gmail.Com

MyBlog: Http://www.caterqiu.cn

 

May 1th,2009

 

 

基础知识

Symbain OS

Symbian OS(中文译音“塞班系统”)由诺基亚、索尼爱立信、摩托罗拉、西门子等几家大型移动通讯设备商共同出资组建的一个合资公司,专门研发智能手机操作系统,现在已经被诺基亚收购。

Symbian OS硬件CPU采用的是ARM系列,使用的是ARM 32位指令而非THUMB

 

EPCO

Symbian操作系统的前身是EPOC“EPOC”这个词起源于世界将会进入“a new epoch of personal convenience”。EPOC是一个开放的操作系统,一开始的时候EPOC就加上了无线通信和一个外加应用程序的体系,因此在无线通信方面与其他操作系统相比具备先天的优势。

 

Symbian S60

Nokia S60 系列手机是市面上智能机里流行最广的手机。

Symbian Series 60 Symbian S60 的全称

S60可以细化分为第一版、第二版、第三版、第四版、第五版

第一版和第二版差别不大,笼统概括为S60 2nd S60二版。(包含OS6OS7OS8 三个系列)

第三版第四版第五版核心是 OS9系列的,笼统概括为S60 3rd S60三版

 

2nd And 3rd

S60 3rd S60 2nd从操作系统上看有很大的区别:

1、三版引入了权限签名这一安全机制,可通过对程序安装包进行签名授权。

2、S60 2ndEPOC6S60 3rd EPOC9,这也意味着其ELF (Executable and Linking Format)是可执行连接格式也发生了改变

S60 2nd 版本中,可执行体是 EPOC6 格式的 .APP 文件和 .DLL 文件

S60 3rd 版本中,可执行体是 EPOC9 格式的 .EXE 文件和 .DLL 文件

3、三版和二版的程序安装包,格式是不一样的尽管都是.sis 结尾的文件

EPOC9 格式的可执行文件是可以压缩的,三版签名后的安装包一般是.sisx

 

ARM CPU

ARM 公司是专门从事基于 RISCreduced instruction set computer,精简指令集计算机) 微处理芯片制造的企业。设计出的产品性能高、成本低和能耗省的特点,适用于多种领域,例如嵌入式系统、DSP、和手机。

 

ARM处理器本身是32位设计,但也配备Thumb 16位指令集

 

 


准备工作

 

IDA Pro 5.2

鬼斧神工逆向分析利器

下载地址http://bbs.pediy.com/showthread.php?t=55801

 

 

IDS files for EPOC6 and EPOC9

Symbian EPOC格式标示符文件配合IDA5.2使用解压置IDA相关目录即可

下载地址

http://arteam.biz.hr/downloads/Symbian_EPOC6_EPOC9_Unleashed_IDS_Files_for_IDA_Pro_by_argv.rar

 

WinHex

强大的磁盘编辑工具,也是非常棒的十六进制编辑器。

 

SisContents

S60 三版程序(Sis,Sisx) 打包、解包、签名工具。

http://symbiandev.cdtools.net

 

CeleASM

用于查看ARM OPCODE

宇宙杰出青年Yonsm(郭春杨) 之作

主页WWW.Yonsm.NET

 

Symbian_OS_9.x-ELF_Toolz

用于解压和压缩3rd  EXEDLL工具

当然我不是宇宙杰出青年,博客还是有的

Blog WwW.CaterQiu.Cn

 

RESEdit.exe

S60 三版程序RSC资源修改工具,主要用作汉化

 

这四款小工具我的博客有文件打包,详情参阅

WwW.CaterQiu.Cn/Article/Symbian_S60_3rd_Reverse_CrAcKiNg_Tutorial_By_CaterQiu.html

 


实战操作

ExampleDVDPlayer 1.26.SISx http://www.viking.tm

 

Setp 1Unpack Sis/Sisx File

Use_SisContents_Unpack_S60_3rd_Target_Sis_File


Setp 2UnComPress ELF File

Use_Symbian_OS_9.x_ELF_Toolz_UnComPress_Target_ELF_File

 

 

Compare File Size Between Original(BAK_dvdplayer.exe) And NoCompress(dvdplayer.exe),

You Have Found dvdplayer.exe Was Unpacked.


Setp 3Analysis Program Flow

 

把脱壳后的程序拖入IDA

 

勾上 堆栈指针和机器码字节数为8

 

 

.

Shift+F12设置下字符串类型,Unicode 要的

 

 

字符串窗口中 357062008960014

类似IMEI的串号,双击过来

 

 

继续向上回溯字符串被调用的地方

 

 

回溯到到sub_8A2C

 

注意:

MOV R12,SP

STMFD SP!,{R4,R5,R7,R11,R12,LR,PC}

这两句类似Win32程序汇编代码中

PUSH EBP

MOV EBPESP

ADD ESPXXX

意味着什么呢?意味着这个是子功能函数的函数入口

 

 

既然这个已经是子函数的入口了

我大致猜测刚才显示的那个串号是作者自己用来做的手机串号

我估计写入这个串号是为了检测

当串号为 357062008960014

就不需要启动软件注册功能

暂时这么猜测吧

按下X按键看看有哪些地方调用

还好只有一处

 

 

 

返回到这里

分析代码详细过程我就不在这里细说了

Loc _8280 这里与解密有关的部分,我们进入分析

 

进来后,再进入 sub_9114 分析看看

 

很显然 sub_9114 也是一个子函数

 

 

这里这号是图形化的,看看整个分支流程

 

 

 

CompareF 比较函数

再猜测下咯

刚才是作者手机串号的代码

这里的比较

很大何能是判断是不是作者的手机

R0寄存器和8×86 EAX寄存器一样常用语函数返回值

没查SDK了,和Windows比较函数一样

一般返回0 说明两参数比较相等

 

加个注解解释下吧

LDR          R0, [R6,#0x98]    ;     相当于    MOV R0,[R6+0x98]

MOV     R1, R10         ;      相当于    MOV R1,R10

BL         TDesC16::CompareF(TDesC16 const&) ;     相当于 Comparf(R0,R1)

CMP     R0, #0          ; R0为函数的返回值,为0,说明参数 R0和参数 R1 相等

MOVEQ    R8, #1          ; IF R0=0 Then R8=1

STREQ   R8, [R6,#0x90]     ; IF R0=0 Then Storage R8 To R6+0×90 Memory

BEQ     loc_922C        ; IF R0=0 Then Call Loc_922C Function

 

很明显要改变程序流程

需要patch下代码

修改

CMP R0#0

变成

CMP R0R0

可以一直作用下列的流程

自然而然

我们的补丁代码也就是这个了


Setp 4Make ARM OPCODE

 

Use_CeleASM_Make_OPCODE

 

生成的OPCODE

    5 00000004 e3500000         CMP R0,#0

    6 00000008 e1500000         CMP R0,R0

 

看看 CMP R0#0 OPCODE和我们途中的 OPCODE是否相同

 

不难看出

5 00000004 e3500000         CMP R0,#0

是对应Little-Endianl数据存储类型的ARM CPU

也就是低位字节排在内存较低地址

 

Patch_OPCODE: 00 00 50 E1 (CMP   R0R0)
Setp 5Patch Data

 

 

先从IDA中查看需要修改代码对应的文件偏移

0x000012AC

 

 

原来的

 

 

修改后就这样了

 

最后存盘即可。


Setp 6Compress ELF File

 

Use_Symbian_OS_9.x_ELF_Toolz_ComPress_Target_ELF_File


Setp 7Pack S60 3rd File

1、把之前破解好,加压缩的dvdplayer.exe 复制一份到别处

2、删除之前解包出来的文件夹

D:Symbian_Reverse_ToolzToolzSisContents121DVDPlayer 1.26

3、再次用SisContents打开原版的.sis文件,点击 Extract Files 图标

4、拷贝之前破解好,加压缩的dvdplayer.exe,复制到

D:Symbian_Reverse_ToolzToolzSisContents121DVDPlayer 1.26sysbin

替换掉解包出来的

5、删除原来的签名:回到SisContents中, Tools->Delete Signatures

6File->Save As->另存文件即可。

 

 

 

Setp 8Run Patched .Sis File With Mobile

在手机上测试我们修改后的程序,破解成功。

 

说明那个串号是一个作者留下的小路吧,当然如果替换作者原来测试机的串号357062008960014 成自己的串号,那么程序也是一路绿灯通行的。


学习小结

ARM指令集需要掌握

遇到BCALL指令用即可

BL是调用系统函数

Bxx是条件调用类似条件跳转Jxx指令

R0-R3可以用作参数传递

R0Win32汇编中EAX作用一样常用语存放函数返回值

 

解密思路和Windows上的解密思路是一样的

可以通过字符串来定位关键代码,

也可以通过相关API找关键代码

 

Symbian解密注意事项

       解包后记得先解压EXE或者DLL文件

修改后的EXEDLL程序不可以直接替换到手机中使用,需要做成安装包

       打包前一定要给EXEDLL压缩下

       打包时要注意签名,最好先删除所有的签名

 

 

 

WwW.CaterQiu.Cn/Article/Symbian_S60_3rd_Reverse_CrAcKiNg_Tutorial_By_CaterQiu.html

 

 

 

Symbian S60 3rd Reverse CrAcKiNg_Tutorial

 

By CaterQiu

Blog www.caterqiu.cn

Mail Cater.Qiu@Gmail.com

2009-5-1

相关文件下载

 实话的说,本来教程想拿英文写的,顺带练习练习的

只是越写越困 越不通顺~所以后面 就用中文混淆一下吧~

顺带说下,明天是某人生日,某人很寂寞,先睡觉了。
大成,大成成就你一个家。

Comments

  • 2009年05月4日, gz1x writes: 不错,看着很新颖。嵌入式平台的安全确实是个好方向。
  • 2009年05月4日, dge writes: 文章写的很好,很漂亮
  • 2009年05月9日, lwjef writes: 页面不是很流畅~ 好迟滞~~ Cater以前是OPDA编程组的成员~~
  • 2009年05月9日, lwjef writes: 郁闷来~~ 原来也是Cater的博客呀~~
  • 2009年05月9日, robinh00d writes: @lwjef, 这是一个集体的BLOG呵呵
Copyright © 2008
This feed is for personal, non-commercial use only.
The use of this feed on other websites breaches copyright. If this content is not in your news reader, it makes the page you are viewing an infringement of the copyright. (Digital Fingerprint:
8e761b2ea8edc3ca311452b020051837)

随机日志

]]> http://www.softrce.net/archives/114/feed 5 容易被忽略的IDA快捷键 http://www.softrce.net/archives/21 http://www.softrce.net/archives/21#comments Sat, 10 Jan 2009 07:04:51 +0000 admin http://174.132.145.120/~crackidz/archives/21

2. 选定汇编指令段按T,批量修改范围内结构偏移


3. 选中操作数按Alt+F1,输入内容替换操作数


4. 选定汇编指令行按Alt+F2,输入内容替换原有指令


5. Insert,输入段前注释


6. Shift+Insert,输入段后注释 ]]> 1. 选中寄存器按V,用输入内容替换寄存器名

2. 选定汇编指令段按T,批量修改范围内结构偏移

3. 选中操作数按Alt+F1,输入内容替换操作数

4. 选定汇编指令行按Alt+F2,输入内容替换原有指令

5. Insert,输入段前注释

6. Shift+Insert,输入段后注释

Copyright © 2008
This feed is for personal, non-commercial use only.
The use of this feed on other websites breaches copyright. If this content is not in your news reader, it makes the page you are viewing an infringement of the copyright. (Digital Fingerprint:
8e761b2ea8edc3ca311452b020051837)

随机日志

]]> http://www.softrce.net/archives/21/feed 0 Vista Bootmgr/Winload使用的大部分选项ID http://www.softrce.net/archives/14 http://www.softrce.net/archives/14#comments Sat, 18 Oct 2008 19:46:42 +0000 mj0011 http://174.132.145.120/~crackidz/archives/14  
vista bootmgr的选项存储在systemdevice\boot\bcd,这个HIVE文件类似以前的boot,ini

boot.ini的选项在该HIVE中是以guid->option id的形式来体现的

除了保留了原来boot.ini可以使用的大部分选项外,还新增了许多选项,例如test signing, disable integrity checks,hypervisor debug options,cmdcons等等等
...
]]>
vista bootmgr的选项存储在systemdevice\boot\bcd,这个HIVE文件类似以前的boot,ini

boot.ini的选项在该HIVE中是以guid->option id的形式来体现的

除了保留了原来boot.ini可以使用的大部分选项外,还新增了许多选项,例如test signing, disable integrity checks,hypervisor debug options,cmdcons等等等

以下是我分析WINLOAD.EXE和bootmgr找出的一些选项ID(50个,包括大部分选项),通过这些选项ID可以查看、修改VISTA的许多启动设置(结合参考:http://www.debugman.com/read.php?tid=1999

10100002 os type
12000002 boot loader path
12000004 os name
12000005 locate language
12000016 target name
15000007 max memory
1500000d relocate physical memory range
15000011 1394 or usb debug
15000013 debug port(COM 1 ,2 ,3 4)
15000014 brudrate
15000022 redirect(COM 1, 2, 3,4)
15000023 redirect baudrate
15000047 config access policy (default or disallow low memory config)
15000052 graphics resolution (800×600 or 1024×768)
16000009: recovery
16000010 Boot debugging
16000048 disable integrity checks or no integrity checks!
16000049 test signing
22000001 “cmdcons” :cmdcons(Windows Recovery Console)
“undo” roll back
22000002 system root
22000011 kernel =
22000012 hal =
23000006 default resume os
24000001 os list
24000010 memory test
25000004 boot menu timeout
25000020 DEP option(optin/optout/alwayson/alwaysoff)
25000021 pae or nopae
25000032 3GB user memory(user rva)
25000071 MSI policy (default or force disable)
25000072 pci express policy (default or force disable)
25000080 safeboot :boot network or dsrepair
250000f6 :hypervisor dbg ch
26000004 stamp disks (stamp raw disk when winpe)
26000010 detect hal
26000026 disable integrity checks
26000027 test signing
26000040 base video
26000041 (noguiboot, bootlogo)load bitmap logo : \osload800x600.bmp or \osload1024x768.bmp
26000042 novesa
26000051 use physical APIC
26000060 one cpu
26000062 max processor
26000070 pci lock
26000081 safeboot :boot minimal or minimal(alter nate shell)
26000090 boot log
26000091 SOS
260000a0 debug or nodebug
260000a1 kernel debug break on ntoskrnl

Copyright © 2008
This feed is for personal, non-commercial use only.
The use of this feed on other websites breaches copyright. If this content is not in your news reader, it makes the page you are viewing an infringement of the copyright. (Digital Fingerprint:
8e761b2ea8edc3ca311452b020051837)

随机日志

]]> http://www.softrce.net/archives/14/feed 0