(看雪教程） 第6章 软件保护技术-第一节 常见保护技巧

苍穹

1、序列号方式 　
（1）序列号保护机制

　　数学算法一项都是密码加密的核心，但在一般的软件加密中，它似乎并不太为人们关心，因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及，数学算法在软件加密中的比重似乎是越来越大了。
　　我们先来看看在网络上大行其道的序列号加密的工作原理。当用户从网络上下载某个shareware——共享软件后，一般都有使用时间上的限制，当过了共享软件的试用期后，你必须到这个软件的公司去注册后方能继续使用。注册过程一般是用户把自己的私人信息（一般主要指名字）连同信用卡号码告诉给软件公司，软件公司会根据用户的信息计算出一个序列码，在用户得到这个序列码后，按照注册需要的步骤在软件中输入注册信息和注册码，其注册信息的合法性由软件验证通过后，软件就会取消掉本身的各种限制，这种加密实现起来比较简单，不需要额外的成本，用户购买也非常方便，在互联网上的软件80%都是以这种方式来保护的。
　　我们注意到软件验证序列号的合法性过程，其实就是验证用户名和序列号之间的换算关系是否正确的过程。其验证最基本的有两种，一种是按用户输入的姓名来生成注册码，再同用户输入的注册码比较，公式表示如下：
　　序列号 = F（用户名）
　　但这种方法等于在用户软件中再现了软件公司生成注册码的过程，实际上是非常不安全的，不论其换算过程多么复杂，解密者只需把你的换算过程从程序中提取出来就可以编制一个通用的注册程序。
　　另外一种是通过注册码来验证用户名的正确性，公式表示如下：
　　用户名称 = F逆（序列号） （如ACDSEE小楼注）
　　这其实是软件公司注册码计算过程的反算法，如果正向算法与反向算法不是对称算法的话，对于解密者来说，的确有些困难，但这种算法相当不好设计。
　　于是有人考虑到一下的算法：
　　F1（用户名称） = F2（序列号）
　　F1、F2是两种完全不同的的算法，但用户名通过F1算法的计算出的特征字等于序列号通过F2算法计算出的特征字，这种算法在设计上比较简单，保密性相对以上两种算法也要好的多。如果能够把F1、F2算法设计成不可逆算法的话，保密性相当的好；可一旦解密者找到其中之一的反算法的话，这种算法就不安全了。一元算法的设计看来再如何努力也很难有太大的突破，那么二元呢？
　　特定值 = F（用户名，序列号）
　　这个算法看上去相当不错，用户名称与序列号之间的关系不再那么清晰了，但同时也失去了用户名于序列号的一一对应关系，软件开发者必须自己维护用户名称与序列号之间的唯一性，但这似乎不是难以办到的事，建个数据库就好了。当然你也可以根据这一思路把用户名称和序列号分为几个部分来构造多元的算法。
　　特定值 = F（用户名1，用户名2，...序列号1，序列号2...）
　　现有的序列号加密算法大多是软件开发者自行设计的，大部分相当简单。而且有些算法作者虽然下了很大的功夫，效果却往往得不到它所希望的结果。其实现在有很多现成的加密算法可以用，如RSADESMD4MD5只不过这些算法是为了加密密文或密码用的，于序列号加密多少有些不同。我在这里试举一例，希望有抛砖引玉的作用：
　　1、在软件程序中有一段加密过的密文S
　　2、密钥 = F（用户名、序列号） 用上面的二元算法得到密钥
　　3、明文D = F-DES（密文S、密钥） 用得到的密钥来解密密文得到明文D
　　4、CRC = F-CRC（明文D） 对得到的明文应用各种CRC统计
　　5、检查CRC是否正确。最好多设计几种CRC算法，检查多个CRC结果是否都正确
　　用这种方法，在没有一个已知正确的序列号情况下是永远推算不出正确的序列号的。 （2）如何攻击序列号保护
　　要找到序列号，或者修改掉判断序列号之后的跳转指令，最重要的是要利用各种工具定位判断序列号的代码段。这些常用的API包括GetDlgItemInt GetDlgItemTextA GetTabbedTextExtentA GetWindowTextA Hmemcpy (仅仅Windows 9x) lstrcmp lstrlen memcpy (限于NT/2000)。
1）数据约束性的秘诀
　　这个概念是+ORC提出的，只限于用明文比较注册码的那种保护方式。在大多数序列号保护的程序中，那个真正的、正确的注册码或密码（Password）会于某个时刻出现在内存中，当然它出现的位置是不定的，但多数情况下它会在一个范围之内，即存放用户输入序列号的内存地址±0X90字节的地方。这是由于加密者所用工具内部的一个Windows数据传输的约束条件决定的。
2）Hmemcpy函数（俗称万能断点）
　　函数Hmemcpy是Windows9x系统的内部函数，位于KERNEL32.DLL中，它的作用是将内存中的一块数据拷贝到另一个地方。由于Windows9x系统频繁使用该函数处理各种字串，因此用它作为断点很实用，它是Windows9x平台最常用的断点。在Windows NT/2K中没有这个断点，因为其内核和Windows9x完全不同。
3）S命令
　　由于S命令忽略不在内存中的页面，因此你可以使用32位平面地址数据段描述符30h在整个4GB（0~FFFFFFFFh ）空间查找，一般用在Windows9x下面。具体步骤为：先输入姓名或假的序列号（如： 78787878），按Ctrl+D切换到SoftICE下，下搜索命令：
　　s 30：0 L ffffffff '78787878'
　　会搜索出地址：ss：ssssssss（这些地址可能不止一个），然后用bpm断点监视搜索到的假注册码，跟踪一下程序如何处理输入的序列号，就有可能找到正确的序列号。
4）利用消息断点
　　在处理字串方面可以利用消息断点WM_GETTEXT和WM_COMMAND。前者用来读取某个控件中的文本，比如拷贝编辑窗口中的序列号到程序提供的一个缓冲区里；后者则是用来通知某个控件的父窗口的，比如当输入序列号之后点击OK按钮，则该按钮的父窗口将收到一个WM_COMMAND消息，以表明该按钮被点击。
　　BMSG xxxx WM_GETTEXT （拦截序列号）
　　BMSG xxxx WM_COMMAND (拦截OK按钮)
　　可以用SoftICE提供的HWND命令获得窗口句柄的信息，也可以利用Visual Studio中的Spy++实用工具得到相应窗口的句柄值，然后用BMSG设断点拦截。例：
　　BMSG 0129 WM_COMMAND

2、Nag窗口 　
　　Nag的本义是烦人的意思。Nag窗口是软件设计者用来不时提醒用户购买正式版本的窗口。软件设计者可能认为当用户受不了试用版中的这些烦人的窗口时就会考虑购买正式版本。它可能会在程序启动或退出时弹出来，或者在软件运行的某个时刻随机或定时地弹出来，确实比较烦人。 　　去除警告窗口常用的三种方法是：修改程序的资源、静态分析，动态分析。
　　去除警告窗口用资源修改工具是个不错的方法，可以将可执行文件中的警告窗口的属性改成透明、不可见，这样就变相去除了警告窗口。
　　如果是动态跟踪调试，只需找到创建此窗口的代码，跳过即可。常用的显示窗口的函数有MessageBoxA、MessageBoxExA、MessageBeep 、DialogBoxParamA 、ShowWindow、CreateWindowExA等。然而某些警告窗口用这些断点不管用，就可试试利用消息设断点，一般都应能拦截下来。

例：利用消息断点拦截警告窗口：
　　切换到SOFTICE下命令： HWND
　　应看到如下的类似信息：
Window-Handle hQueue SZ QOwner Class-Name Window-Procedure
0080 (0) 2057 32 MSGSVR32 #32711 (switch_win) 17EF:00004B6E
0084 (1) 2057 32 EXPLORER shell_trayWnd 1487:0000016C
... ... ... ... ... ...
　　在这些列表中查找相关应用程序的窗口句柄。如果NAG窗口上有OK按钮，在class name查找“button”。如果NAG窗口上什么都没有，那可试验找出正确的句柄。句柄列表可能非常长，但通常NAG窗口的句柄一般在列表的前面。
注：在这里推荐用SMU Winspector工具协助破解NAG.它能显示你所需要的信息：Window-Handle Window-Class Name Window-Text Parent Window-Handle Parent-Window Class Name Parent Window-Text Module ...
　　一但找到NAG窗口的句柄，应用BMSG命令在Windows的消息上下断点。现在假设NAG窗口有OK按钮，你己找到正确的句柄（handle），这时下命令：
　　BMSG 0084 WM_DESTROY
　　 0084是NAG窗口的句柄（handle）。这条命令是NAG窗口从屏幕上消失时，SoftICE将中断。此时将深入到一些不认识的API函数，可按F12返回程序。需要指出，跟踪的目的是发现NAG窗口在何处初始化（在返回的CALL用设断）。NAG窗口大多用Created/Destroyed类似的CALL，因此如发现这些，就可按需要跟踪下去。
3、时间限制　
（1） 定时器
　　有些程序的试用版每次运行都有时间限制，例如运行10分钟或20分钟就停止工作，必须重新运行该程序才能正常工作。这些程序里面自然有个定时器来统计程序运行的时间。
1）使用Settimer（）
　　常用的计数器是函数Settimer（），调用这个函数创建的定时器可以发出消息VM_TIMER，或者在定时期满时调用一个回调函数。 使用这个函数会使时间延时，精度不高。
2）使用timeSetEvent()
　　给Windows驱动程序最精确的周期性通知是由Windows的多媒体服务timeSetEvent()提供的。它的时间可以精确到1毫秒。
3）使用VXD
　　可以使用VMM的Set_Global_time_Out()服务来迫使回调函数的几个毫秒再执行，这就创造了一个“只有一次”的定时器。VXD可以在回调中再次调用Set_Global_time_Out()来开始下一个定时器，这样提供了一个连续运行的定时器了。
4）其它
　　GetTickCount()：精度不高；
　　timeGetTime()： 可以以毫秒级返回windows开始后的时间。
（2）时间限制
　　一般这类保护的软件都有时间上的限制，如试用30天等，当过了共享软件的试用期后，就不予运行，只有向软件作者付费注册之后才能得到一个无时间限制的注册版本。
　　这种类型程序很多，让你有10天、20天、30天等，它们在安装时，在你的系统某处做上时间标记，每次运行时用当前系统时间和安装时的时间比较，判断你还否能使用。
　　如最典型的30天限制的一种情况：
　　mov ecx1E ; 把1E (30天 十进制) 放入 ecx
　　mov eax[esp+10] ; 把用过天数放到eax
　　cmp eaxecx ; 在此比较
　　jl ...
　　如碰到这种情况，只需把"mov eax[esp+10]"改成"mov eax1" 。
　　要记住当前年份、月份的十六进制的一些表示方法，如：2000年的十六进制是07D0，然后用W32DASM反汇编你的程序，用查找字符串的方法找D007（在机器码中位置颠倒了一下）或其它类似时间的数字，有可能会找到有价值的线索。你别小看这种方法，对那些没怎么防范的程序，此招很有效。
　　如：一程序限定在2000年使用，可能有如下一代码：
　　:00037805 817C2404D0070000 cmp dword ptr [esp+04] 000007D0 比较是否在2000年。
（3）与时间相关函数
1、GetSystemTime 得当前系统时间
说明：
在一个SYSTEMTIME中载入当前系统时间，这个时间采用的是“协同世界时间”（即UTC，也叫做GMT）格式。
VOID GetSystemTime(
LPSYSTEMTIME lpSystemTime // SYSTEMTIME，随同当前时间载入的结构
);

2、GetLocalTime 得当前本地时间
VOID GetLocalTime(
LPSYSTEMTIME lpSystemTime // SYSTEMTIME，用于装载本地时间的结构
);

3、SystemTimeToFileTime 根据一个FILETIME结构的内容，载入一个SYSTEMTIME结构

BOOL SystemTimeToFileTime(
CONST SYSTEMTIME * lpst // SYSTEMTIME，包含了系统时间信息的一个结构
LPFILETIME lpft // FILETIME，用于装载文件时间的一个结构
);
返回值 ：非零表示成功，零表示失败。

4、SetTimer 创建一定时器，在指定时间内暂停

UINT SetTimer(
HWND hwnd // 时间信息句柄
UINT idtimer // 定时器ID 标识符
UINT uTimeout // 暂停时间
TIMERPROC tmprc // 处理定时过程的程序入口地址
);
4、Key File保护 　【习题】
　　Key File（注册文件）是一种利用文件来注册软件的保护方式。Key File一般是一个小文件，可以是纯文本文件，也可以是包含不可显示字符的二进制文件，其内容是一些加密过或未加密的数据，其中可能有用户名、注册码等信息。文件格式则由软件作者自己定义。试用版软件没有注册文件，当用户向作者付费注册之后，会收到作者寄来的注册文件，其中可能包含用户的个人信息。用户只要将该文件放入指定的目录，就可以让软件成为正式版。该文件一般是放在软件的安装目录中或系统目录下。软件每次启动时，从该文件中读取数据，然后利用某种算法进行处理，根据处理的结果判断是否为正确的注册文件，如果正确则以注册版模式来运行。
（1）破解Key File一般思路
1. 最好分析Key File的工具是十六进制工具，普通的文本编辑工具不太适合。
2. 对付这类程序，你首先建立一假的Key File文件。一般的软件容许Key File有不同的大小和文件名，你建立的文件内容必须易读，跟据情况调整Key File的大小和文件名。为什么要易读呢？因为目标程序从Key File中读取数据，然后进行处理，易读有利于你分析其运算过程。
3. Key File文件在大多数情况下，是以'*.key'形式存在的。
4. Key File文件名可用W32DASM或十六进制工具打开程序用查找字符串方式确定；
5. 读用户手册（有时作者可能会提到）；
6. 用Filemon 这一工具，它能实时监视系统各文件的状态，因此运行程序时，如它去读指定文件名的Key File时，会在Filemon显示Key File文件名。一但你发现Key File文件名，就建立一假的Key File到要被crack软件目录下然后去crack。
（2）Windows下破解Key File几个常用的函数：

函数ReadFile
作用：从文件中读出数据
参数：其中Long，非零表示成功，零表示失败。
BOOL ReadFile(
HANDLE hFile // Long，文件的句柄
LPVOID lpBuffer // Any，用于保存读入数据的一个缓冲区
DWORD nNumberOfBytesToRead //Long，要读入的字符数
LPDWORD lpNumberOfBytesRead // Long，从文件中实际读入的字符数
LPOVERLAPPED lpOverlapped // address of structure for data
);

函数CreateFileA
作用：可打开和创建文件、管道、邮槽、通信服务、设备以及控制台

HANDLE CreateFileA(
LPCTSTR lpFileName // String，要打开的文件的名字
DWORD dwDesiredAccess // 允许对设备进行读写访问；
DWORD dwShareMode // 共享模式
LPSECURITY_ATTRIBUTES lpSecurityAttributes// 指向一个SECURITY_ATTRIBUTES结构的指针，定义了文件的安全特性（如果操作系统支持的）
DWORD dwCreationDistribution // 如何创建文件
DWORD dwFlagsAndAttributes // file attributes
HANDLE hTemplateFile //Long，如果不为零，则指定一个文件句柄。新文件将从这个文件中复制 扩展属性
);

函数_lopen( )
作用：以二进制模式打开指定的文件

HFILE _lopen(
LPCSTR lpPathName // 欲打开文件的名字
int iReadWrite // 访问模式和共享模式常数的一个组合
);

函数FindFirstFileA( )
作用：根据文件名查找文件
HANDLE FindFirstFile(
LPCTSTR lpFileName // 欲搜索的文件名。可包含通配符，并可包含一个路径或相对路径名
LPWIN32_FIND_DATA lpFindFileData // WIN32_FIND_DATA，这个结构用于装载与找到的文件有关的信息。该结构可用于后续的搜索
);

5、功能限制的程序 　
　　这种程序一般是DEMO版或菜单中部分选项是灰色。有些DEMO版本的部分功能里面根本就没有。而有些程序功能全有，只要注册后就正常了。
　　你使用这些DEMO程序部分被禁止的功能时，会跳出提示框，说这是DEMO版等话，它们一般都是调用MessageBox[A] 或 DialogBox[A]等函数。你可在W32DASM反汇编它，一般能找到如下字符串："Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等，这些CALL会被相应的调用，可作为你破解的一指示器。
　　另外，就是菜单中部分选项是灰色的不能用，一般它们是通过如下两种函数实现的：
（1）EnableMenuItem
允许、禁止或变灰指定的菜单条目
BOOL EnableMenuItem(
HMENU hMenu // 菜单句柄
UINT uIDEnableItem // 菜单ID，形式为：充许禁止或灰
UINT uEnable //菜单项目旗帜
);
Returns
在ASM代码形式如下:
PUSH uEnable 　　　//uEnable=0 则菜单选项允许
PUSH uIDEnableItem
PUSH hWnd
CALL [KERNEL32!EnableMenuItem]
（2）EnableWindow
允许或禁止鼠标和键盘控制指定窗口和条目（禁止时菜单变灰）
BOOL EnableWindow(
HWND hWnd // 窗口句柄
BOOL bEnable // 允许/禁止输入
);
Returns
如窗口以前被禁止则返回一TRUE，否则返回 FALSE。
6、cd 检测 　
　简单也最常见的光盘保护就是程序在启动时判断光驱中的光盘上是否存在特定的文件，如果不存在则认为用户没有正版光盘，拒绝运行。在程序运行的过程当中一般不再检查光盘的存在与否。Windows下的具体实现一般是这样的：先用GetLogicalDriveStrings( )或GetLogicalDrives( )得到系统中安装的所有驱动器的列表，然后再用GetDriveType( )检查每一个驱动器，如果是光驱则用CreateFileA( )或FindFirstFileA( )等函数检查特定的文件存在与否，并可能进一步地检查文件的属性、大小、内容等。 这种光盘检查是比较容易被破解的，解密者只要利用上述函数设断点找到程序启动时检查光驱的地方，修改判断指令就可以跳过光盘检查。
（1）可将游戏（或其它程序）的光盘拿出，运行游戏，将出现一些错误提示，如： Please insert the - CD or: You need the CD to play the - . 利用这提示可在W32DASM中利用串式数据参考功能查找相应的代码进行分析。
（2）相关函数
1、GetDrivetype(a) 判断一个磁盘驱动器的类型
UINT GetDriveType(
LPCTSTR lpRootPathName // String，包含了驱动器根目录路径的一个字串
);
返回值
0 驱动器不能识别
1 指定的目录不存在
2 DriveRemoveable
3 A Fixed Disk (HardDrive)
4 Remote Drive(Network)
5 Cd-Rom驱动器
6 RamDisk
如果是普通的程序，你可将EAX由5改成3即可。
注意：有些程序可能检测光盘根目录相关文件，CD的卷标也可能被检测。
2、GetLogicalDrives 判断系统中存在哪些逻辑驱动器字母
这函数没有参数
返回值
这个结构中的二进制位标志着存在哪些驱动器。其中，位0设为1表示驱动器A:存在于系统中；位1设为1表示存在B:驱动器；以次类推
3、GetLogicalDriveStrings 获取一个字串，其中包含了当前所有逻辑驱动器的根驱动器路径
DWORD GetLogicalDriveStrings(
DWORD nBufferLength // 字串的长度
LPTSTR lpBuffer 　　// 用于装载逻辑驱动器名称的字串。每个名字都用一个NULL字符分隔，在最后一个名　　　　　　　　　　　　　字后面用两个NULL表示中止（空中止）
);
返回值
装载到lpBuffer的字符数量（排除空中止字符）。如缓冲区的长度不够，不能容下路径，则返回值就变成要求的缓冲区大小。零表示失败。会设置GetLastError
4、GetFileAttributesA 判断指定文件的属性
DWORD GetFileAttributes(
LPCTSTR lpFileName //指定欲获取属性的一个文件的名字
);

5、GetFileSize 判断文件长度
DWORD GetFileSize(
HANDLE hFile // 文件的句柄
LPDWORD lpFileSizeHigh // 指定一个长整数，用于装载一个64位文件长度的头32位。如这个长度没有超过　　　　　　　　　　　　　　　2＾32字节，则该参数可以设为NULL（变成ByVal）
);
返回值
返回文件长度。&HFFFFFFFF表示出错。注意如lpFileSizeHigh不为NULL，且结果为&HFFFFFFFF，那么必须调用GetLastError，判断是否实际发生了一个错误，因为这是一个有效的结果
6、GetLastError 针对之前调用的api函数，用这个函数取得扩展错误信息
返回值
由api函数决定。请参考api32.txt文件，其中列出了一系列错误常数；都以ERROR_前缀起头。常用的错误代码见下表
ERROR_INVALID_HANDLE 无效的句柄作为一个参数传递
ERROR_CALL_NOT_IMPLEMENTED 在win 95下调用专为win nt设计的win32 api函数
ERROR_INVALID_PARAMETER 函数中有个参数不正确
7、ReadFile 从文件中读出数据
具体参考KEYFILE一节。
8、其它一些CDROM信息
中断2F是mscdex中断，可用bpint 2f al=0 ah=15检测Mmscdex是否安装。
也可试着用文件存取设断

(编辑：天命孤独)

肖林

我要把你这篇帖子牢牢的记在心里，刻在脑海里

枫树

人生就像一杯茶，不会苦一辈子，但总会苦一阵子。