一个DLL的两种破解方法-看雪学院.docVIP

一个DLL的两种破解方法 BigInt.dll包含一个很好用的大整数类。喜欢密码学的朋友可以方便地调用这个DLL来实现一些密码学算法。不过它是需要注册的——未注册用户在调用DLL中的某些函数时会随机地出现NAG窗口（提示注册）。 本人经过深入分析，终于破解了这个DLL。我从中也学到了不少知识。现把破解过程写出来与大家分享。 暴力破解 作者提供了DLL使用的示例代码。在VC6下可以直接编译通过。运行编译后的程序，发现：在单击Button1时，会随机地出现NAG窗口。在CMyDlg::OnButton1()开始的地方设置断点，VC6 Debug模式下单步跟踪。发现在执行代码cB3=cB1*cB2; 和cB3.GetBreakString(3, sz);时会出现NAG窗口（因为是随机出现的，所以一次测试可能不出现，多试几次就会发现了）。 记下代码相应的虚拟地址（VC调试状态下切换到反汇编窗口，就可以看到虚拟地址了）。 （另一种定位关键代码的方法是：在OD中对MessageBoxA下断） 下面使用OD来调试分析DLL中的关键代码。在分析完多个DLL的导出函数后，发现： DLL内有一个全局的CRand对象（本文将其命名为CRand_obj），该对象的成员变量m_dSeed控制NAG窗口的出现。 内存中的CRand_objBigInt.CRand_obj 1001A380 offset BigInt.CRand::`vftable 1002191C ；填充4字节 FA8CAA01 ；m_dSeed 3FD0F698 （说明：由于字节对齐的因素，CRand_obj实际占用16个字节，偏移0x0处是虚表指针，偏移0x8处是m_dSeed。关于字节对齐，可以参考 /zhengjinfeng/blog/item/b3b6f5ed962874312797917d.html ） 在DLL的部分导出函数中会调用double CRand::GetRand()，该函数的代码如下：BigInt.CRand::GetRand fld qword ptr ds:[1001A490] ; 1.0 fsub qword ptr ds:[ecx+8] fmul qword ptr ds:[ecx+8] 1000771C fmul qword ptr ds:[1001A488] ; 4.0 fst qword ptr ds:[ecx+8] retn 用C语言表达就是： double CRand::GetRand() { m_dSeed = 4.0 * m_dSeed * (1.0-m_dSeed); return m_dSeed; } /* 题外话：混沌理论 由初始值开始迭代，得到序列是无规则的。由该序列所统计出的概率密度在区间（0，1）上分布为=，图象如下： */ 然后，将函数double CRand::GetRand()返回的浮点值（即当前的m_dSeed）与0.5进行比较。如果大于或等于0.5，则弹出NAG窗口。 如果爆破的话，一种简单的想法是修改条件跳转指令。但是，在DLL中这样的跳转指令有很多，逐个修改会很麻烦。这里使用另一种方法——修改与返回值比较的浮点数0.5。由于double CRand::GetRand()的返回值总是在0到1之间，这样只需要将0.5修改为1.0或者更大的数即可。 具体做法如下： (1)将虚拟地址0x10001A428转换为文件偏移为0x1A428。 (2)使用16进制工具定位到DLL文件偏移0x1A428处，该处的8个字节为 00 00 00 00 00 00 E0 3F（表示浮点数0.5）， 将其修改为 00 00 00 00 00 00 F0 3F（表示浮点数1.0），即只需要将E0修改为F0。 写注册机 爆破后的DLL已经可以自由使用。下面来分析该DLL的注册算法。按照提示，DLL使用16字节的注册码进行注册，注册函数为BOOL BigInt_Register(LPSTR pszRegCode)。 BigInt_Register的部分反汇编代码如下： call BigInt.100