[原创]破解研究之金盾播放器机器码模拟方法

声明:本文主要是做技术研究分享,希望视频加密软件能够防止类似的破解,提高加密安全性。
首先谈一下API替换技术,API替换与API HOOK原理差不多,但使用上面略有不同.
API HOOK技术请参考我的另一个帖子: http://www.codelive.cn/index.php/archives/36/

简单讲一下两者的区别:
API HOOK:是修改原API的内存地址,增加jmp语句跳转到新的API地址,然后再恢复原API内存地址,这样整个进程中所有调用原API都会被截获,这种办法弊端是有可能会被反HOOK检测到,从而导致软件异常.

举例说明,假如要HOOK函数GetLocalTime到你的my_GetLocalTime函数:
1.写一个DLL程序,同时定义my_GetLocalTime函数,参数与GetLocalTime相同:

void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
}

2.在DLL加载的时候先保存原API的内存前7个字节,然后再修改原API GetLocalTime地址内存,汇编代码为:

mov eax, my_GetLocalTime
jmp eax

上面是7个字节

3.在my_GetLocalTime中

void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
    //将原API的7个字节恢复,然后这里就可以调用原API
    GetLocalTime(lpSystemTime);
    //为了保证下一次还进行HOOK,所以这里还需要把新的7个字节再写回到原API地址
}

API替换: 同样是截获API调用,但API替换是仅对调用API的地方做代码修改,使之CALL到新的函数
举例说明,假设程序有3处调用了GetLocalTime

地址1  : xxxxxx10 -   call GetLocalTime
地址2  : xxxxxx80 -   call GetLocalTime
地址3  : xxxxxxB0 -   call GetLocalTime

如果我们只想改变地址2的调用我们的my_GetLocalTime,也就是:

地址2  : xxxxxx80 -   call my_GetLocalTime

这样就仅仅是对原程序的patch,不需要动态的回写API内存地址数据,也就可以逃避反HOOK检测.

重点来了,基于这个原理,我就分享一下对金盾视频播放器2017S的破解过程:
很多人应该都知道金盾视频播放器的加密和播放过程,我简单介绍一下:
1.首先运行加密系统对一个视频文件进行加密,如图:

2015011049435909.jpg

输入密码,其他使用缺省, 点击开始加密,这样视频就加密完成了.
2.用户用一个专门的播放器打开加密的视频文件,会显示如下界面:

2015011049436285.jpg

3.加密系统根据用户的机器码创建一个播放密码。

2015011049436417.jpg

4.用户输入播放密码就能够正确播放。

OK,软件使用介绍完了,下面进入正题.

PS : 本破解是的前提是已知一对机器码和播放密码.

1.软件如何获取的机器码?

2015011049436573.png

机器码分为4部分:

1)第1部分:4fd09

读取注册表:

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
    项名: SystemBiosVersion

比如我的机器:

2015011049436725.png

把0x0000换成分号”;”,比如为 : LENOVO – 1370; 然后再转换为ASC II码,然后进行MD5,最后取前5个字符做为第1部分

代码位置:

2015011049436853.png

  1. 第2部分:f14c1

读磁盘序列号:

通过API CreateFileW打开"\.\PhysicalDrive0"设备,然后调用DeviceIoControl, IoControlCode = SMART_RCV_DRIVE_DATA来获取磁盘数据信息,获取和数据长度是0x210,然后取出110000000xxxx01序列号:

2015011049437585.png

和第1步同样先转换到ASCII码,然后计算MD5,再取前5个字符.

代码位置:

2015011049437745.png

3)第3部分:896e4

读取注册表:

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
    项名: VideoBiosVersion 和 VideoBIOSDate

2015011049437897.png

然后把两部分加起来,用”;”分隔,同样是转换到ASCII码,然后计算MD5,再取前5个字符.

代码位置:

2015011049438025.png

4)第4部分:00000

这部分是固定的为 00000, 确切的说如果绑定了网卡,这里是网卡的MD5

最后把4部分用 ”-“拼接就组成了机器码.

2.破解方案?

因为播放器播放视频是一机一码,因为已知一组机器码和对应的播放密码,那么我们就使用模拟机器码的方案进行破解,主要分2部分破解工作.

1)拦截注册表API:

让每台机器获取的注册表和磁盘信息都一样,也就是返回固定的内容,也就是让3部分内容都返回我们给定的固定的内容.拦截的API是RegQueryValueExW,至于磁盘信息,则可以通过把DeviceIoControl的返回值判断部分爆破解决的,也就是jne改为je/jmp,让其判断结果出错,这样程序就会用空指针数据进行MD5计算.

项名: SystemBiosVersion,值为:SystemBiosVersion (可以任意给定)
项名: VideoBiosVersion,值为:VideoBiosVersion(可以任意给定)
项名: VideoBIOSDate,值为:VideoBIOSDate(可以任意给定)

把值设定为和项名一样的内容,这样便于我们跟踪调试,也可以给其他的值,只要是固定的就可以。

2 拦截MD5计算函数:

这部分是对于我们设定的3部分内容在计算MD5值的时候,把它变为要模拟机器码的MD5数值.

如果程序要计算 “SystemBiosVersion;”的MD5,那么我们就知道这是要计算第1部分机器码的MD5,此时只要我们返回模拟机器码的第1部分即可,其他部分也是同样的,如果不是我们的内容则要计算出正确的MD5.

3.代码分析

已经确定了破解方案,就要仔细的进行代码跟踪分析,找到要爆破的位置.

  1. API RegQueryValueExW这个容易找到,前面也已经分析过,3个地址:
0088FC79   .  E8 1E49B8FF   call 专用播放.0041459C   ; \RegQueryValueExW
00890041   .  E8 5645B8FF   call 专用播放.0041459C   ; \RegQueryValueExW
008900A0   .  E8 F744B8FF   call 专用播放.0041459C   ; \RegQueryValueExW

2)MD5函数位置,这个可以有几种办法
a)通过设定内存访问断点的方法,一步一步确定MD5的计算函数
b)直接根据MD5算法的特征来查找代码:

2015011049438157.png

根据以上两个关键特征就可以很容易找到代码的位置,经过分析调用MD5计算的位置是:

0076B9DA  |.  8D55 EC       lea edx,[local.5]      // edx存放输出MD5值的地址(16字节)
0076B9DD  |.  8B45 FC       mov eax,[local.1]      // eax存储要计算MD5字符串的地址
0076B9E0  |.  E8 A7FEFFFF   call 专用播放.0076B88C  // 这个是计算MD5的函数

4.DLL补丁程序编写
建立一个DLL工程,我使用的是VC,任何版本都可以,写两个函数,

1)我们自己的RegQueryValueExW,代码如下:

2015011049438321.png

在这个我们自己的函数里,判断机器码3个项名,然后返回固定的内容,否则调用系统的函数处理

2)我们自己的MD5函数,代码如下:

2015011049438489.png

这部分就是模拟机器码的部分,判断要计算MD5的字符串内容,然后返回对应的机器码,因为只取前5个字符,所以我们只需要返回前3个字节即可,如果不是我们的内容则使用标准的MD5计算函数。

3)导出一个API,为了可以让程序加载,后面会用到:

2015011049438645.png

5.DLL程序加载

补丁DLL程序写好了,如何加载到程序,这就要使用一个工具CFF Explorer

2015011049438769.png

让程序导入我们的api函数,然后“Rebuild Import Table”和保存即可,这样程序就在运行的时候加载我们的DLL补丁程序。

6.函数替换和代码补丁

一般函数拦截或者替换可以通过API HOOK的办法,但这个金盾程序有反HOOK处理,所以不太好直接用,所以我们就使用对原程序打补丁的办法,直接改变call函数。

1)对3个call RegQueryValueExW的地方都修改为call我们的my_RegQueryValueExW

0088FC79   .  E8 5226770F   call apijindu.100022D0
00890041   .  E8 8A22770F   call apijindu.100022D0
008900A0   .  E8 2B22770F   call apijindu.100022D0

这是其中一个代码的示例:

2015011049438917.png

这里说一下,CALL地址的计算方法:CALL 偏移地址 = 目标地址-当前地址-5

举例:

0x00890000 CALL   原API
新API地址为:   0x001000AA
0x00890000   CALL   (0x001000AA - 0x00890000 - 5)

2)对DeviceIoControl调用函数返回值判断的修改,就是改75为74,也就是jne=>je

2015011049439093.png

3)MD5函数的替换:

这个要复杂很多,因为原md5计算是内部的函数,也没有参数,输入和输出分别是eax和edx,所以我们没办法直接改变原来的call到我们自己的my_MD5函数, 所以只能采取jmp跳转的办法,首先得找到一大片可以插入代码的内存地址,遗憾的是,没找到合适的位置,没办法,只能采取更暴力的办法,改写不会调用的代码内存,最后确定008904AA - 008904C5这部分代码不会调用,直接填充90(NOP)

2015011049439229.png

然后写跳转和调用的补丁代码:

先跳转到我们的NOP位置

2015011049439341.png
在NOP位置写我们的代码,最后要跳回到之前位置:

2015011049439481.png

至此补丁全部完成,运行播放器,会看到已经完全模拟了机器码,输入正确的密码,视频成功播放。

2015011049439597.png

通过这种办法,只要修改my_MD5部分就可以模拟任何机器码,是一个通杀的解决方案。

由于这是给一个朋友破解的,所以不能公布程序源代码,此帖主要是分享一种API替换的一种技术.

本帖首发在52PoJie: http://www.52pojie.cn/thread-264955-1-1.html

  • 完 -

标签: drm, crack, video

仅有一条评论

  1. 工

    天狼星EXE视频能破解吗

添加新评论