加密与解密调试篇静态分析技术（三）枚举/IDC/插件

您所在的位置：网站首页 › widevine插件解密 › 加密与解密调试篇静态分析技术（三）枚举/IDC/插件

加密与解密调试篇静态分析技术（三）枚举/IDC/插件

2023-06-30 09:14| 来源: 网络整理| 查看: 265

1.枚举类型

2.FLIRT

1.应用FLIRT签名

3.IDC脚本

IDC分析加密代码

4.插件

5.IDA调试器

1.加载目标文件

2.调试器界面

编辑

3.调试跟踪

4.断点

5.跟踪

1.枚举类型

这是一段c语言源代码

#include int main(void) { enum weekday { MONDAY, TUESDAY, WEDNESDAY, THUSDAY, FRIDAY, SATURDAY, SUNDAY }; printf("%d,%d,%d,%d,%d,%d,%d",MONDAY,TUESDAY, WEDNESDAY, THUSDAY, FRIDAY, SATURDAY, SUNDAY ); return 0; }

在IDA的反汇编中却成为了没有意义的数字

因为是有规律的所以我们可以使用枚举类型来表示这个数字

View ->Open subviews->Enumerations->Shift+0

插入一个新的weekday

然后在 weekday枚举中按N

我们重新选择需要定义的数据处

Edit->Operand types->Enum member

如果我们想在操作数类型中重新定义现有数据

Edit->Operand types -> Enum member /按M/右键->Symbolic constant

2.FLIRT

FLIRT（库文件快速识别与鉴定技术）

可以让IDA在一系列编译器的标准库文件里自动找出调用的函数，使反汇编更加清晰

1.应用FLIRT签名

一般反汇编无法给出具体函数名字

例如

C语言 strlen 函数在一般中可能只会显示 call 406E40

这样的反汇编虽然正确但是没有意义

而IDA中FLIRT却可以正确标记所调用的库函数名称

call strlen

IDA通常可以识别一些编译器但是不一定成功

1. 反汇编一些特定版本编译器产生的程序例如微软的记事本 2. 程序中的编译器资料被删除了例如高级语言编写的病毒程序 3. 编译器不支持导致识别失败

打开随书文件

我们假设这里的call无法识别

我们主要要学会如何载入

View->Open subviews->Signatures /shift +F5

Apply new signature

选中后应该是会自动重新分析代码

如果没有

Options -> Analysis -> Reanalyse program

3.IDC脚本

IDA可以使用脚本来提升控制

IDA支持两个语言编写脚本 IDC、pyhton

IDA的原始嵌入脚本语言叫做IDC

IDC原本就是一种类C语言的脚本控制器、语法和C语言类似

IDC的脚本中都一条包含ida.idc语句

这是IDA的标准库函数

变量定义形式为 auto var

其他逻辑、循环等语句与C语言类似

随书带有3个例子

我们看看第二个

IDC分析加密代码

载入程序

分析一下入口代码

这里我们能发现 sub_401080 是对 sub_401060的解密

这段代码利用了 SMC （自己修改自己代码技术）可执行文件中保存着加密文件然后只有在程序运行才会通过一处返回正确的代码 call 解密子程序 call 解密后的子程序

我们分析一下解密代码

.text:00401080 ; =============== S U B R O U T I N E ======================================= .text:00401080 .text:00401080 .text:00401080 sub_401080 proc near ; CODE XREF: sub_401020+6↑p .text:00401080 mov eax, offset loc_401060 eax中存入 401060 .text:00401085 .text:00401085 loc_401085: ; CODE XREF: sub_401080+14↓j .text:00401085 mov bl, [eax] 把eax中的401060首地址放入 bl .text:00401087 xor bl, 1 和1进行异或 .text:0040108A mov [eax], bl 把异或后的结果存回eax的地址 .text:0040108C inc eax 把eax的地址进入下一个字节 .text:0040108D cmp eax, (offset loc_401070+4) 检查待查的指令是否结束 .text:00401092 jg short locret_401096 结束就调到 401096 .text:00401094 jmp short loc_401085 没有就继续 .text:00401096 ; --------------------------------------------------------------------------- .text:00401096 .text:00401096 locret_401096: ; CODE XREF: sub_401080+12↑j .text:00401096 retn .text:00401096 sub_401080 endp .text:00401096 .text:00401096 ; ---------------------------------------------------------------------------

我们使用随书的代码

#include static decrypt(from, size, key ) { auto i, x; for ( i=0; i < size; i=i+1 ) { x = Byte(from); x = (x^key); PatchByte(from,x); from = from + 1; } Message("\n" + "Decrypt Complete\n"); }

File->Script file

File->Script command /shift +F12

run

然后重新对 401060 进行分析

选中 401060的代码然后U 然后重新选中按 C

就可以出现解密后的代码了

在实际环境中大多数程序的加密都比这复杂但是思路都是一样通过汇编看看是如何解密然后就写出脚本来解密即可在IDA中对于由 SMC和其他加密技术的代码也可以使用其他方式来解密（OllyDbg的动态调试）然后通过IDA的"Additional binary file" 将解密文件程序加载这样就会比自己写代码来的有效 4.插件

这里我们就介绍一个插件

已经集成在IDA中了

Hex-Rays

在进行IDA反汇编分析前

View->Open Subviews-> F5/Pseudocode

这样就能返回高级语言

5.IDA调试器 1.加载目标文件

Debugger->Select Debugger

选中 Local Windows debugger

2.调试器界面

3.调试跟踪 IDA快捷键 F7单步步进，遇到call指令时跟进F8单步步过，遇到call指令时路过，不跟进F4运行到光标所在行Ctrl+F7直到该函数返回时才停止F9运行程序Ctrl+F2终止一个正在运行的程序F2设置断点 4.断点

F2进行断点

Debugger -> Breakpoints -> Breakpoints List

也支持条件断点

设置断点后右键 -> Edit Breakpoints

5.跟踪

IDA分为两个分类

一类是指令跟踪 Debugger -> Taceing -> Instruction Tracing IDA负责记录地址、指令和寄存器的值另一类是函数跟踪 Debugger -> Tracing -> Function Tracing 6.静态分析技术应用实例 1.爆破

打开ida

主要通过报错的地方来修改

对比的核心代码

我们只需要对jnz 修改为 nop 他就会执行下面的OK

修改汇编

Edit -> Patch program -> Assemble

应用到程序

Edit -> Patch program -> Apply patches to input file

2.算法

能发现就是对 String2进行比对然后上面 String2 又是 9981

所以序列号就是 9981

7.逆向工程初步要求： 1.移除报错对话框 2.显示一个对话框然后输出用户输出的内容 3.显示对话框告知用户输入错误还是正确 4.修改 not reversed 为 - reversed - 5.修改序列号为 pediy 1.移除报错对话框

首先通过字符串窗口查看

text:0040123B loc_40123B: ; DATA XREF: sub_401110+FC↑o .text:0040123B push 0 ; uType 获取消息样式 .text:0040123D push offset Caption ; "ReverseMe #1" 标题 .text:00401242 push offset aOkayForNowMiss ; "Okay, for now, mission failed !" 文本内容 .text:00401247 push 0 ; hWnd 父窗口句柄 .text:00401249 call MessageBoxA 显示窗口

我们只需要直接修改跳转到 MessageBoxA函数执行完的地址即可绕过

jmp 0040124Eh

2.显示一个对话框然后输出用户输出的内容

首先先了解程序用什么api来获取输入

在input窗口中

发现了GetWindowsTextA

我们进入看看

t:00401202 cmp ax, 3 .text:00401206 jnz loc_4012EC .text:0040120C mov eax, offset loc_40123B 存入40123B地址 .text:00401211 jmp eax 跳到 40123B .text:00401213 ; --------------------------------------------------------------------------- .text:00401213 push 200h ; nMaxCount 获取字符串长度 .text:00401218 push offset Text ; lpString 获取缓冲区地址 .text:0040121D push hWnd ; hWnd 获取句柄 .text:00401223 call GetWindowTextA 获取文本 .text:00401228 push 0 ; uType .text:0040122A push offset Caption ; "ReverseMe #1" .text:0040122F push offset Text ; lpText .text:00401234 push 0 ; hWnd .text:00401236 call MessageBoxA

这里明显无法执行因为跳转到了40123B 所以我们把跳转 nop即可