首先要说明的一点是,本文只是为了研究用替换公钥的方法来探讨去除ECC的可能性,因为去除ECC有更简单的方法,通常PATCH几个字节就可以了,具体在论坛上已经有很多人讨论过了。
   ECC破解的最困难之处在于,在没有找到ECC加密算法的漏洞之前,必须找到私钥才能产生正确的LIC,因为采用ECC时,根本不存在signature的比较过程,也就是说你无法知道他正确的signature是什么。加密和解密采用了不同密钥,加密是用私钥,我们无法知道,而解密要用到公钥,这个公钥必须存在于软件之中。那么,如果我们自己产生一对私钥/公钥,用公钥替换软件中的公钥,那么我们用自己的私钥产生的LIC就能通过ECC校验。
  flexlm中进行ECC校验的函数是l_pubkey_verify,其定义如下
int l_pubkey_verify (LM_HANDLE *job, 
    unsigned char * input, 
    int inputlen, 
    char *signature, 
    int siglen,
    int *pubkeysize,
    unsigned char pubkey[LM_PUBKEYS][LM_MAXPUBKEYSIZ],
    int strength, 
    int sign_level)
{
......
}
pubkeysize指向公钥块的大小,pubkey就是公钥,例如某软件的公钥数据结构如下:

debug002:FFFF6C6C dd 10h     pubkeysize[0]
debug002:FFFF6C70 dd 16h     pubkeysize[1]
debug002:FFFF6C74 dd 1Fh     pubkeysize[2]
debug002:FFFF6C78 db  66h    pubkey[0]
debug002:FFFF6C79 db  5Ch  
debug002:FFFF6C7A db 0C4h  
debug002:FFFF6C7B db  94h  
debug002:FFFF6C7C db  68h  
debug002:FFFF6C7D db 0E5h  
debug002:FFFF6C7E db  11h  
debug002:FFFF6C7F db  41h  
debug002:FFFF6C80 db 0EBh  
debug002:FFFF6C81 db 0CCh  
debug002:FFFF6C82 db    8  
debug002:FFFF6C83 db 0CAh  
debug002:FFFF6C84 db 0F6h  
debug002:FFFF6C85 db 0D6h  
debug002:FFFF6C86 db 0F4h  
debug002:FFFF6C87 db 0ABh  
......
debug002:FFFF6CA0 db  65h   pubkey[1]
debug002:FFFF6CA1 db 0A1h  
debug002:FFFF6CA2 db    9  
debug002:FFFF6CA3 db  15h  
debug002:FFFF6CA4 db 0B5h  
debug002:FFFF6CA5 db  5Ch  
debug002:FFFF6CA6 db  91h  
debug002:FFFF6CA7 db 0E6h  
debug002:FFFF6CA8 db 0E1h  
debug002:FFFF6CA9 db    0  
debug002:FFFF6CAA db 0A6h  
debug002:FFFF6CAB db 0E4h  
debug002:FFFF6CAC db 0E0h  
debug002:FFFF6CAD db  95h  
debug002:FFFF6CAE db  25h  
debug002:FFFF6CAF db 0D5h  
debug002:FFFF6CB0 db  9Dh  
debug002:FFFF6CB1 db  41h  
debug002:FFFF6CB2 db  43h  
debug002:FFFF6CB3 db 0C7h  
debug002:FFFF6CB4 db  83h  
debug002:FFFF6CB5 db 0F9h  
...
debug002:FFFF6CC8 db  66h   pubkey[2]
debug002:FFFF6CC9 db 0E4h 
debug002:FFFF6CCA db  24h 
debug002:FFFF6CCB db  7Fh 
debug002:FFFF6CCC db 0A6h 
debug002:FFFF6CCD db  36h 
debug002:FFFF6CCE db  36h 
debug002:FFFF6CCF db  27h 
debug002:FFFF6CD0 db  25h 
debug002:FFFF6CD1 db  15h
debug002:FFFF6CD2 db 0C0h 
debug002:FFFF6CD3 db 0E0h 
debug002:FFFF6CD4 db  99h 
debug002:FFFF6CD5 db  8Fh 
debug002:FFFF6CD6 db  0Dh
debug002:FFFF6CD7 db  61h 
debug002:FFFF6CD8 db 0B7h 
debug002:FFFF6CD9 db 0C4h 
debug002:FFFF6CDA db 0E5h 
debug002:FFFF6CDB db 0E6h 
debug002:FFFF6CDC db  6Eh 
debug002:FFFF6CDD db  66h 
debug002:FFFF6CDE db 0A0h 
debug002:FFFF6CDF db 0A4h 
debug002:FFFF6CE0 db  88h 
debug002:FFFF6CE1 db  27h 
debug002:FFFF6CE2 db  44h 
debug002:FFFF6CE3 db 0FDh 
debug002:FFFF6CE4 db 0CDh 
debug002:FFFF6CE5 db 0F4h 
debug002:FFFF6CE6 db 0DAh 
...    

利用flexlm SDK产生一对私钥/公钥,内容在lmpubkey.h中 

#include "lmclient.h"      
#define LM_PUBLIC_KEY      
#define LM_KEY_CALLBACK l_pubkey_verify      
lm_extern int l_pubkey_verify();      
static int l_pubseedcnt = 2;      
static unsigned char lm_pubkey[2][3][40] = {{{0x65, 0x9c, 0x83, 0x38, 0x9, 0xdf, 0x5f, 0x24, 0xd7, 0xc2, 0xba, 0xcc, 0xef, 0x3b, 0x3, 0x59},
  {0x66, 0x9f, 0x68, 0x83, 0x39, 0x6e, 0xda, 0x32, 0xd2, 0x8c, 0xd8, 0x4b, 0x2b, 0xf0, 0xff, 0x90, 0xdc, 0x5b, 0x3e, 0x1f, 0x26, 0x0},
  {0x65, 0x13, 0x12, 0x82, 0xa3, 0x62, 0x86, 0xb0, 0x71, 0xfb, 0x81, 0x77, 0x48, 0x42, 0x36, 0x27, 0x62, 0x51, 0x8b, 0x10, 0x11, 0xa1, 0x58, 0x2, 0x14, 0x37, 0xee, 0xa6, 0x16, 0x6f, 0x4b}}
,
  {{0x65, 0x9d, 0xbd, 0x7a, 0x36, 0xab, 0xb0, 0xf4, 0x35, 0x62, 0xe3, 0xd, 0xaa, 0x53, 0x1c, 0x31},
  {0x65, 0x9f, 0x61, 0x54, 0x36, 0xe9, 0x1d, 0x30, 0xa5, 0x8f, 0x68, 0xd, 0x19, 0xaf, 0xba, 0xbd, 0xb6, 0x1d, 0x89, 0xe1, 0x99, 0xec},
  {0x66, 0xc7, 0x69, 0x61, 0xc0, 0x8c, 0x74, 0x96, 0xfc, 0xc0, 0xc4, 0xac, 0x10, 0x2c, 0x38, 0xe9, 0xe6, 0xd6, 0x9b, 0x4b, 0xeb, 0xd5, 0xc7, 0x37, 0x58, 0x75, 0xb5, 0xa3, 0xce, 0xdd, 0xe6}}
};
    
static unsigned int lm_pubsize[2][3] = {{0x10, 0x16, 0x1f}
,
  {0x10, 0x16, 0x1f}
};
用上述内容替换内存中pubkey,那么你自己产生的LIC将成功通过ECC校验。

以上仅仅是在内存中进行pubkey替换,实际上由于flexlm的obfuscate措施,
pubkey并没有在软件的磁盘文件中连续存放,是在l_n36_buf中完成重新组合,
有时间再来研究这个。