Aladdin HASP加密狗破解脱壳笔记 二维码
Aladdin HASP加密狗破解脱壳笔记 本次也不算是一个教程吧,最近在工作上遇到了一家供应商提供的非常不错的软件,这个软件给到我们这里的时候是附带了HASP 一个月的授权的软件狗,授权到期之后,也打算好好弄一弄这个大名鼎鼎的HASP加密狗。 一、首选,通过软件的行为,已经基本可以确认为圣天诺,而且是软件狗。被加密软件运行时会作为Client,向Server发送加密的网络数据,相互握手、校验、数据解密。 针对以上行为,可以获得如下重要信息: 在没有原狗的情况下, 想脱狗几乎不可能,没有原狗的程序,本身全部都是加密的,只有原狗才可以传回解密的数据。(这条存疑,在论坛里有大佬发过脱狗获取AES128密钥的教程,但是那个我实践失败了。。) 所以,想要看我这篇文章参考脱狗的人请确保手里要有原狗,即使是过授权期期的原狗都可以。 二、先用PE工具查壳,可能是加密狗的壳本身已经更新了,现在的程序查壳查不到,报告未识别的保护壳,如下图:
三、使用x64dbg载入程序,发现数据段、代码段等都被加密了,无法用那篇帖子提到的二次内存断点法定位OEP。
四、理清逆向思路: 1、核心思路使用API Hook技术,钩住四个关键的函数:hasp_login、hasp_login_scope、hasp_encrypt、hasp_decrypt。 2、变更函数的行为:hasp_login、hasp_login_scope、hasp_encrypt直接设置为返回"成功"。 3、变更函数的行为:hasp_decrypt,需要根据被加密数据返回加密数据,因此需要使用狗来模拟反馈。 为了实现上面这些步骤,我们需要做如下事情: 1、安装HASP的开发环境,这个在官网上有,就不在文章里贴链接了,我下载的最新的8.x版本的,为什么需要下载开发环境? 答: a、需要他们的.h头文件,了解这四个函数的参数与可能的反馈值; b、我们可以使用开发环境,制作一个调用这些函数的简单程序,比如Demo的Lic生成器,我们可以利用这个程序,去寻找这四个函数的特征码。 2、写好API Hook的函数框架,具体的函数内容先不用实现,先确保能正确执行钩子。我个人建议使用微软提供的Detours钩子库,非常稳定易用,面多多线程等各种复杂操作没有漏钩、崩溃等翻车行为,我自己使用Detours又简单封装了一下,主要封装了Add Hook、Remove Hook、log打印、BIN文件读写等功能(非必须,看自己) 3、捕获这四个函数在目标程序中的具体位置 4、使用API Hook钩住这四个函数 5、变更函数行为。 接下来,我会按照上面的思路继续写下面的操作步骤。 1、安装HASP环境,跳过,自行操作。(可选) 如果不想下载,我附件里会附带一个官方的.h头文件,这个是无论如何必须的,API钩子dll里要用。 另外提供四个函数的特征码,是我这边总结出来的,理论上来说应该适用所有HASP SRM类型的狗: hasp_login函数:B9 03 00 00 00 31 D2 8B 9C 24 D0 01 00 00 8B AC 24 CC 01 00 00 hasp_login_scope函数:31 C0 8B AC 24 9C 00 00 00 83 CA 02 83 F1 02 hasp_encrypt函数:C7 04 24 00 00 00 00 0F AF C0 89 D6 83 E0 03 39 C8 hasp_decrypt函数:83 F9 FF 0F 94 C3 83 C8 02 83 F5 02 81 CB E6 15 00 00 2、下载Detours,然后简单封装,Detours的原库我也会在附件里直接提供。我简单封装了一下后,新的函数接口(不一定要和我一致,关键是能方便自己分析东西,至于内容自行实现,网上有太多例子了,本文章只讲方法思路): int logOutput(const string& text); //打印Log,在当前目录里生成WKYDebug.log文件,并写入指定字符串内容 void WriteBIN(string sPath, BYTE* pbyte, int iLength); //将pByte指向的内存数据以二进制写入指定的文件里 void ReadBIN(string sPath, BYTE* pByte, int iLength); //从指定的文件里以二进制方式读取数据并存入pByte指向的内存 LONG AddHook(void** pOldAddress, void* pNewAddress); //新增一个Hook,参数与Detours一致,只是把一些多余步骤封装进去了 void RemoveHook(void* pNewAddress); //识别地址移除一个Hook 3、捕获这四个函数在内存中的位置。
hasp_login特征码搜索到以后,起始地址在前面的00F08C74,如下:
hasp_login_scope搜索到以后,起始地址是前面的00F1170E,如下:
hasp_encrypt搜索到以后,起始地址是前面的00F09A21,如下:
hasp_decrypt搜索到以后,起始地址是前面的00F09C7C(千万要注意,是在push ebx前面一个字节,这里是做了障眼法,写错了地址后面的Hook是没用的)
4、加载Hookdll,根据上面的信息,统计公式如下(不要照搬,根据自己程序的实际情况来统计): hasp_login_Address = OEPAddress - 0x4A038C; //Offset:-4A038C hasp_login_scope_Address = OEPAddress - 0x4978F2; //Offset:-4978F2 hasp_encrypt_Address = OEPAddress - 0x49F5DF; //Offset: -49F5DF hasp_decrypt_Address = OEPAddress - 0x49F384; //Offset: -49F384 另外,我的GetModuleHandle打印下来后,根据log统计,公式如下: OEPAddress = (DWORD)GetModuleHandle(NULL) + 0x609000; //Offset:609000 以下是我的log打印记录与Hook初始化代码:
这里地址与上面不同,是因为每一次运行的时候OEP都不一样,所以我们才要统计上面的公式,在HookDLL加载的时候动态计算各个函数的实际地址,这样得到的地址才是真实的。 初始化里只是先计算出地址,不要Hook hasp那四个函数,这个时候Hook是没有用的,程序本身是有做一些反Hook工作的,这四个函数会不停的Free和Load。 我们需要在Load的时候及时钩住,在Free的时候即使释放,这里需要掌握时机。否则如果没有及时钩住得到话,在重新载入后Hook是失效的。 建议我们在初始化时,只Hook住GetProcAddress,然后在新的GetProcAddress里读取四个函数地址的前十个字节匹配一下,来判定当前是否代码已经解密,如果解密,施加钩子,如果没有,释放钩子。
5、钩子施加完以后,自己多试试,看看打印出来的Log与预期是否相符合。 其中hasp_login、hasp_login_scope和hasp_encrypt没有好讲的,无脑返回HASP_STATUS_OK就可以了,注意handle要赋值,我是定义了一个全局变量,然后回传了这个变量的地址。 以下以haso_login为例,其他两个依葫芦画瓢:
着重讲一下Hook后的hasp_decrypt要怎么写,首先第一步,我们要统计他究竟执行了多少次Decrypt,目前除了C#用的狗之外,其他语言的HASP狗在程序运行初期就会解密所有代码,只有C#是按照函数为原子来解密,比较麻烦。 统计的方法:在新的hasp_decrypt函数里,每执行一次,打印一次log,显示解密的数据长度,同时把解密的前的数据和解密后的数据都输出为BIN文件,然后再调用真实的hasp_decrypt函数并返回,让程序先正常运行下去,就像我这样。
多统计几组数据以后对比一下,看看哪些数据都是固定,我这个程序很幸运,比我参考的那篇文章里的程序要简单,我这几组数据都是固定的,中间没有随机值校验,所以对于我来说其实这里就已经破解完成了。 最后一步: 修改Hook后的hasp_decrypt函数,执行时识别输入数据,读取对应的解密BIN文件并返回HASP_STATUS_OK即可。以下仅为部分示例,举一反三:
最后,对比一下解密前后:
破解后,先弹出免责申明,然后脱狗完美运行:
那些也有心想脱Aladdin HASP狗的朋友们可以好好再钻研一下这篇文章。 |
