飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 4158|回复: 5

[转贴] 一种BT的Delphi窗体防汉化方法

[复制链接]
  • TA的每日心情
    慵懒
    2019-3-12 17:25
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2010-5-6 08:51:08 | 显示全部楼层 |阅读模式
    【标题】一种BT的Delphi窗体防汉化方法
    【目标】PeExplorer 1.94官方英文版,PeExplorer是一款强大的资源编辑器,我通常用其来脱壳UPX程序=_=0,下载连接:
        http://www.pe-explorer.com/download/PE.Explorer_setup.exe
        这个版本跟目前网上下载的有一点不一样,具体怎么不一样我不清楚,反正这个Exe的生成时间是2003/10/21 00:40,晚了一天,
        个头也比世纪上的原版镜像大一些,是2.46M.
    【工具】LordPE,OllyDbg,WinHex
    【音乐】沧桑叹,大渡口,白河寒秋
    【保护】用ResScope打开RCDATA的各窗体资源项,呈现五颜六色无法识别的Hex编辑状态^_*

    凭我多年的YY经验,一看就知道窗体被加密过了(众:你火星来的吧?地球银都知道了),怎么加密的呢?
    不管他,看看他怎么解密的先.
    要解密首先怎么着也得访问想解密的资源吧,那偶就在资源地址下内存存取断点,不信断不下来.起初我是找主窗体资源的VA地址,在那里下了断,发现是断下来以后,屏幕上会挡着一块带显示懒显示的窗体,影响拷贝Olly里的代码到WPS中,看样子,资源是在窗体创建前解密的,那敢情好我就换了个靠门儿的地儿,我下在了splash窗体资源上,断下时候是一条REP MOVS指令:
    CODE
    004027E0  /$  56                 PUSH ESI
    004027E1  |.  57                 PUSH EDI
    004027E2  |.  89C6               MOV ESI,EAX ;EAX作为源地址参数传入
    004027E4  |.  89D7               MOV EDI,EDX ;EDX作为目标地址参数传入
    004027E6  |.  89C8               MOV EAX,ECX ;ECX作为长度参数传入
    004027E8  |.  39F7               CMP EDI,ESI
    004027EA  |.  7F 13              JG SHORT pexplore.004027FF
    004027EC  |.  74 2F              JE SHORT pexplore.0040281D
    004027EE  |.  C1F9 02            SAR ECX,2
    004027F1  |.  78 2A              JS SHORT pexplore.0040281D
    004027F3  |.  F3:A5              REP MOVS DWORD PTR ES:[EDI],DWORD PTR D> ;断在这里
    004027F5  |.  89C1               MOV ECX,EAX


    看样子这像是一个通用的数据复制子程序,在断下的那里,ESI,EDI分别指向源地址和目标地址,这个窗体是把006422D8 写到001627E8这里了.
    现在因为资源段是不可写的,程序将资源复制到了另一个地方,那他就肯定还要对复制到的地方做手脚,于是在EDI值上使用右键,Follow In Dump来到Dump窗口,将内存存取断点下到了001627E8.
    现在一直按F8叫他返回,最后一层是返回到这里:
    CODE
    004117D7  |.  E8 0410FFFF        CALL pexplore.004027E0 ;*
    004117DC  |.  8B45 F0            MOV EAX,DWORD PTR SS:[EBP-10]

    然后倒数第二层返回到这里:
    CODE
    004112D0  |.  FF53 04            CALL DWORD PTR DS:[EBX+4] ;*
    004112D3  |.  3B45 F4            CMP EAX,DWORD PTR SS:[EBP-C]

    倒数第三层返回两次(两次返回指令是靠着的)
    从0041130E RETN,返回到00411316 POP EBX,接下来又是RETN,返回到了这里:
    倒数第五层:
    CODE
    00411975  |.  E8 22F9FFFF        CALL pexplore.0041129C ;*
    0041197A  |>  8BE5               MOV ESP,EBP
    0041197C  |.  5D                 POP EBP
    0041197D  \.  C3                 RETN

    直到现在还是程序没有去管那个复制到的地方,我有点忍不住了,呵呵,在上面的RETN返回一次,到了倒数第六层跋涉:
    CODE
    0040DCB1   .  E8 823C0000        CALL pexplore.00411938 ;*
    0040DCB6   .  8B45 E4            MOV EAX,DWORD PTR SS:[EBP-1C]

    现在继续F8,没几下,就会断下来,因为是在我们F8过程中的CALL里面断下的,在断点窗口看到如下未能如愿消失的行:
    0040DCE5|pexplore|One-shot|MOV EDX,DWORD PTR SS:[EBP-C]
    双击这行,一下子就告诉我们,是在如下CALL里面发生的事件:
    CODE
    0040DCE0 . E8 BFFEFFFF CALL pexplore.0040DBA4;*这里
    0040DCE5 . 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]

    好的,在断下来的地方F9返回,果然Dump窗口出来的已经是窗体的样子了,如你想看具体过程你就继续F8,在回到断下代码的上一层以后,可以看到那层中间每循环一次,Dump窗口就会解密一个字节,直到解密完毕.
    因为以上调用复制和解密的语句都处在同一层,我们有理由相信,这一层很有好戏看,于是清除所有断点,着重分析这层代码:
    CODE
    ;分析点前面不远处有一个FindResourceA,将其也看了下
    0040DC4E   .  E8 C97AFFFF        CALL   ; \FindResourceA
    0040DC53   .  8945 EC            MOV DWORD PTR SS:[EBP-14],EAX         ;这种堆栈形式的存放数据,是Delphi里面的局部变量
    ...
    ...
    0040DC9F   .  55                 PUSH EBP                     ;我将分析起点放在这里是因为看着PUSH EBP比较好看
    0040DCA0   .  68 11DD4000        PUSH pexplore.0040DD11
    0040DCA5   .  64:FF30            PUSH DWORD PTR FS:[EAX]
    0040DCA8   .  64:8920            MOV DWORD PTR FS:[EAX],ESP
    0040DCAB   .  8B55 E8            MOV EDX,DWORD PTR SS:[EBP-18]
    0040DCAE   .  8B45 E4            MOV EAX,DWORD PTR SS:[EBP-1C]
    0040DCB1   .  E8 823C0000        CALL pexplore.00411938
    0040DCB6   .  8B45 E4            MOV EAX,DWORD PTR SS:[EBP-1C]
    0040DCB9   .  8B40 04            MOV EAX,DWORD PTR DS:[EAX+4]
    0040DCBC   .  8945 E0            MOV DWORD PTR SS:[EBP-20],EAX
    0040DCBF   .  8B45 E4            MOV EAX,DWORD PTR SS:[EBP-1C]
    0040DCC2   .  E8 81350000        CALL pexplore.00411248
    0040DCC7   .  83E8 04            SUB EAX,4                     ;这里为窗体资源复制到的地址,刚才被+4现在减回去
    0040DCCA   .  8945 DC            MOV DWORD PTR SS:[EBP-24],EAX
    0040DCCD   .  8B45 E0            MOV EAX,DWORD PTR SS:[EBP-20]
    0040DCD0   .  C700 54504630      MOV DWORD PTR DS:[EAX],30465054;将窗体头四个字节写为'TPF0'
    0040DCD6   .  8345 E0 04         ADD DWORD PTR SS:[EBP-20],4   ;挪动到这四个字节结束处
    0040DCDA   .  8B55 DC            MOV EDX,DWORD PTR SS:[EBP-24] ;参数1:解密长度
    0040DCDD   .  8B45 E0            MOV EAX,DWORD PTR SS:[EBP-20] ;参数2:解密首地址
    0040DCE0   .  E8 BFFEFFFF        CALL pexplore.0040DBA4         ;调用解密子过程
    0040DCE5   .  8B55 F4            MOV EDX,DWORD PTR SS:[EBP-C]
    0040DCE8   .  8B12               MOV EDX,DWORD PTR DS:[EDX]
    0040DCEA   .  8B45 E4            MOV EAX,DWORD PTR SS:[EBP-1C]
    0040DCED   .  E8 76370000        CALL pexplore.00411468

    该解密Call完成每个窗体的解密过程,起初我设想在每个窗体解密后,将解密后的窗体内容复制并覆盖原资源项内容,但是这个程序的窗体较多,而且还需要手动点开每个窗体,所以我只还原了一个窗体,然后停工懒得搞了.
    这样过了几个月.后来见到了一个解密汉化版,于是想起来这档子事儿,拿出Olly,又手动还原了另一个窗体,感觉这种还原方式太原始,前天开始,去分析解密子过程,感觉偶分析算法功力不够.
    昨天夜里做了一夜怪梦.早上发现有人在001发帖儿,说直接将资源坐地解密,就在资源段解回去.还没看完,醒了一次.又做梦,被人追杀.
    敢情是哪位比PeExplorer作者还BT的高人托梦给我的说!于是在程序复制为PeExplorer_B.exe,用LordPE在结尾加了一个段,RawSize为400,VSize为1000,在这个段上使用tuncate at end of section扩展整个文件,VA是00682000,编写代码如下:
    CODE
    00682000    8B15 04226800        MOV EDX,DWORD PTR DS:[682204] ;取出长度参数
    00682006    A1 00226800          MOV EAX,DWORD PTR DS:[682200] ;取出地址参数
    0068200B    83F8 00              CMP EAX,0
    0068200E    74 21                JE SHORT pexplore.00682031     ;以地址0为结束条件
    00682010    C700 54504630        MOV DWORD PTR DS:[EAX],30465054;'TPF0'
    00682016    83C0 04              ADD EAX,4
    00682019    83EA 04              SUB EDX,4
    0068201C    E8 83BBD8FF          CALL pexplore.0040DBA4         ;将窗体就地解密
    00682021    8305 02206800 08     ADD DWORD PTR DS:[682002],8   ;处理下一组的长度,改写682000那句指令的参数
    00682028    8305 07206800 08     ADD DWORD PTR DS:[682007],8   ;改写682006那句
    0068202F  ^ EB CF                JMP SHORT pexplore.00682000   ;循环
    00682031    CC                   INT3
    00682032    C3                   RETN

    此代码用OllyDbg写下来然后拷贝到WinHex里面粘贴的.粘贴时候去掉前面地址,和后面的多余部分,选ASCII-HEX.
    在682200开始,我依次存放了需要解密的$1E个窗体的地址,长度.
    这段程序循环读出每个需要解密的窗体参数并加以解密,当然,为了就地解密,资源段的属性增加了可写属性,而新增的代码段,也要具有可写属性因为他要自己写自己的指令参数.
    试试在OEP处跳到这里执行,并不奏效,应该是解密子过程中间用到了一些初始化过的局部变量/数组.
    于是原来的调用解密过程的地方下断,断下以后来到00682000执行(右键,New Orginal Here),呵呵,等到执行到INT3那句时候,在Dump窗口,看看那些窗体资源VA地方,整齐的窗体内容都白花花的出来了.
    啦啦啦,抄起LordPE,dump Region,选上资源那段,存下来,他替我们取了个名儿:Region005C8000-00682000.dmp,然后把他弄到原来程序里面,就算是大功告成了!
    将原文件复制为另存为PeExplorer_T.exe,用WinHex打开Region005C8000-00682000.dmp,全选+复制,再打开PeExplorer_T.exe,定位到资源的RawOffset:001BCA00,在那里Ctrl+B,粘下来.
    保存并运行,当然要提示Runtime Error at xxxxxxxx,呵呵,肯定是程序对解密过的窗体再次运算以后,鬼知道变成啥了,不管啦,本来准备把动态创建窗体的部分完全抠掉,后来还是只抠掉了原程序里面解密的一步,就是这里:
    CODE
    0040DCE0   .  E8 BFFEFFFF        CALL pexplore.0040DBA4         ;调用解密子过程

    这个呢Delphi里面函数调用使用常规寄存器传参数,所以堆栈不需要调整,因此把他改为了nop,nop,nop,nop,nop.
    保存运行,程序正常出来了,爽,将他窗体的MS Sans Serif都换成Tahoma先,呵呵,这才是解这个BT软件的乐趣所在呀~~
    至于破解时间限制什么的,没弄,也不想弄,我哪能整天找到那么多UPX的壳来用他脱呢?

    【总结】Delphi编译器生成的程序结构清晰,代码优美,堆栈稳定不需调整,实乃挖孔打洞的首选程序之一,适合像我这样的初菜练手!这次主要是找解密点,
        和想一些火星点子,感谢托梦给我的那位大哥!

    评分

    参与人数 1飘云币 +40 收起 理由
    月之精灵 + 40 您的贴子很精彩,希望能再次分享!

    查看全部评分

    PYG19周年生日快乐!

    该用户从未签到

    发表于 2010-5-6 10:23:06 | 显示全部楼层
    Delphi 不会用 (非常可惜 ),但文章我收下了
    PYG19周年生日快乐!
  • TA的每日心情
    无聊
    2024-1-15 22:57
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2010-5-6 22:48:59 | 显示全部楼层
    果然是大牛。。。拜读了!
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2010-5-8 16:40:51 | 显示全部楼层
    Delphi 不会用
    PYG19周年生日快乐!
  • TA的每日心情
    奋斗
    昨天 13:55
  • 签到天数: 1861 天

    [LV.Master]伴坛终老

    发表于 2010-5-9 10:52:08 | 显示全部楼层
    来学习下,Delphi 不会用
    PYG19周年生日快乐!
  • TA的每日心情

    2017-4-3 19:26
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2011-3-29 19:46:52 | 显示全部楼层
    ding xia `
      xuexi le `!
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表