关于深思3读代码的问题
问题一:
读深思3的数据,依赖于狗内的代码。
说到读,就不能不说写,因为读写是互逆的操作。
因为大部分加密者很懒,都用自动生成的代码,所以,我们先来看看深思3自动生成的代码是什么样的:
1、简单随机度:
; (C) Copyright 1998 SenseLock Technologies Inc.
developerpass,,* ;开发口令
userpass111,222,333 ;用户口令
casesensitive1
code1segmentcode ;代码段开始
Encrypt:subbx1,ax1 ;数据变换
xchgax0,bx1
rorax0,8
xchgax0,bx1
addax1,bx1
xchgax0,ax1
rorax0,3
xchgax0,ax1
addbx1,ax1
xchgax0,bx1
rolax0,8
xchgax0,bx1
subax1,bx1
xchgax0,ax1
rolax0,8
xchgax0,ax1
ret4
WriteMemory:xchgbx1,[ax1] ;写数据
ret4
ReadMemory:movbx1,[ax1] ;读数据
ret4
Decrypt:xchgax0,ax1 ;数据逆变换
rorax0,8
xchgax0,ax1
addax1,bx1
xchgax0,bx1
rorax0,8
xchgax0,bx1
subbx1,ax1
xchgax0,ax1
rolax0,3
xchgax0,ax1
subax1,bx1
xchgax0,bx1
rolax0,8
xchgax0,bx1
addbx1,ax1
ret4
code1ends ;代码段结束
data1segmentdata ;数据段开始
dw0
dw1
dw2
data1ends ;数据段结束
我们看到,整个代码分为四段,有两个互为逆运算的数据变换段,一个读数据段,一个写数据段。我们要研究的是读数据,所以,只看读、写两个段:
ReadMemory:movbx1,[ax1] ;读数据
ret4
WriteMemory:xchgbx1,[ax1] ;写数据
ret4
他们共同的特点是:只有两行,并且第二行都是返回。
先看读数据,需要输入两个数据,bx1,ax1,把地址为ax1的数据区的数据给bx1,返回的数据中,ax1不变,bx1变。bx1就是地址为ax1的数据的值。
再看写数据,需要输入两个数据,bx1,ax1,把地址为ax1的数据区的数据与bx1的值交换,返回的数据中,bx1,ax1交换了位置,并且bx1的数值变化了。
如果我们手里有一个软件和它的狗,如何找到读数据的代码?
用静态反汇编工具软件,把软件反汇编,找到所有对狗操作的地方,可以把所有狗内的代码段地址找到,其中代码只有两行的代码段,就是读、写代码段了。然后再来区分读、写。
进入动态跟踪调试工具(如TRW2000等),跟踪这两个代码段,看返回数据的变化,按前面的分析,就可以区分出读、写了。
找到了读数据的代码地址,就可以利用原软件或者自己编一个软件来读出狗内的数据了。
2、普通随机度:
; (C) Copyright 1998 SenseLock Technologies Inc.
developerpass,,* ;开发口令
userpass111,222,123 ;用户口令
casesensitive1
code1segmentcode ;代码段开始
ret4
Encrypt:subax1,bx1 ;数据变换
addbx1,ax1
subbx1,ax1
addax1,bx1
jmpLabel1
ReadMemory:movax1,[bx1] ;读数据
Label1:jmpLabel2
Decrypt:subax1,bx1 ;数据逆变换
addbx1,ax1
subbx1,ax1
addax1,bx1
Label2:jmpLabel3
WriteMemory:xchgax1,[bx1] ;写数据
Label3:movbx0,rand ;随机干扰
xchgax0,bx0
clrbx0
subbx1,ax0 ;通讯变换入口
xchgax1,bx1
addbx1,ax0
xchgbx1,ax1
subax0,bx1
xchgax0,ax1
rolax0,3
xchgax1,ax0
xchgax1,bx1
addbx1,ax0
xchgbx1,ax1
xchgax0,bx1
rolax0,4
xchgbx1,ax0
xorbx1,ax0
xchgax0,bx1
xorbx1,ax1
xchgbx1,ax0
subbx1,ax1
xchgax0,bx1
xorbx1,ax1
xchgbx1,ax0
xorax1,bx1
jmpbx0
code1ends ;代码段结束
data1segmentdata ;数据段开始
dw64dup(0)
data1ends ;数据段结束
我们看到,整个代码分为五段,比简单随机度多了一个通讯变换段(通讯变换段前面还有三行随机干扰,不算一个单独的段),有两个互为逆运算的数据变换段,一个读数据段,一个写数据段。我们要研究的是读数据,所以,只看读、写两个段:
WriteMemory:xchgax1,[bx1] ;写数据
ReadMemory:movax1,[bx1] ;读数据
Label1:jmpLabel2
他们的共同特点是,一般有两行组成,如果是在通讯变换前面的,则只有一行。第二行是转移语句。第一行与前面介绍的简单随机度相同,所以,这里就不在细说了。
开头说了,一般的加密者很懒,往往用自动生成的代码。如果不用自动生成的代码,又如何呢?
例如,代码段是这样的:
mov ax0, bx1
mov bx0, ax1
mov ax1, [bx0]
mov bx1, [ax0]
add ax1, bx1
add bx1, ax1
ret 4
这实际是每次读两个数据,然后再进行简单计算,然后返回。这样,就不可能直接读出数据区的数据了。这就需要猜出代码来,如果知道代码,其实不是很简单嘛?至于如何猜到狗内的代码,我准备在下一个问题里回答。