把软件的注册机制隐藏在API里最大的好处就是不容易被破解者发现,因为他们经常会用OD的F8快捷键步过API,很少有人跟进去看把?然后…程序的注册机制调用就在XX API中。
原理比较简单,主要是利用了流行的HOOK技术,至于怎么HOOK完全取决于你,反正要能改变API函数的流程即可。
如果选的HOOK点适当,我觉得这一招还是很阴的….
比如:
MessageBoxA
IsDebuggerPresent
等特别容易被忽视的API函数。
在这篇文章中我选择使用MessageBoxA来作为目标。
考虑下面的代码段:
if(key==2){MessageBox(XXX,"注册失败!","err",MB_OK);}else{//这个只是假的成功吧。MessageBox(0,"注册成功!","err",MB_OK)}
注意观察第一个参数,这个是我们的后门标记。
破解者一般都会跳过带”失败“特征的分支…..
假如我们HOOK MessageBoxA这个函数,并留下了进入验证机制的后门….
在 MessageBox(XXX,”注册失败!”,”err”,MB_OK); 中触发后门,触发条件是XXX=后门设置的某个值…
一旦跳过了这一个分支,那么就等于跳过了进入注册机制的路…..呵呵,你懂得…
然后显示注册失败什么的 就可以在验证完后改变MessageBox的参数现实提示。
HOOK操作代码最后放到隐秘一点的地方,比如异常处理函数..
下面是完整的验证DLL代码,写地很简单。
//By 无名侠void HookMessageBox();BOOL APIENTRY DllMain( HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved){switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:HookMessageBox();case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;}char *err = "注册失败!";char *regok ="注册成功!";char * FunAddr = NULL;void HookMessageBox();int __stdcall REG(int key){if (key==0xcccccccc){return 1;}else{return 0;}}__declspec(naked) void MyMessagebox(){_asm{push ebpmov ebp,espcmp [ebp+20],0xAAjne nextpush [ebp+8]call REGpush ebxmov ebx,0mov [ebp+8],ebxmov [ebp+20],ebxpop ebxcmp eax,1jne iferrmov eax,regok mov [ebp+12],eaxjmp nextiferr:mov eax,errmov [ebp+12],eaxnext:mov eax,FunAddradd eax,5jmp eax}}void HookMessageBox(){unsigned char JmpCode[5];int addr2;DWORD oldProtect;FunAddr=(char *)GetProcAddress(GetModuleHandleA("User32.dll"),"MessageBoxA");if (!FunAddr){MessageBoxA(0,"error!","",MB_OK);ExitProcess(-1);}JmpCode[0]=0xE9;addr2 = (int)MyMessagebox-(int)FunAddr-5;*((int*)&JmpCode[1])=addr2;VirtualProtect(FunAddr,5,PAGE_EXECUTE_READWRITE,&oldProtect);memcpy(FunAddr,JmpCode,5);VirtualProtect(FunAddr,5,oldProtect,NULL);}
By 无名侠 转载请保留出处。
