【标题】一种BT的Delphi窗体防汉化方法
【目标】PeExplorer 1.94官方英文版,PeExplorer是一款强大的资源编辑器,我通常用其来脱壳UPX程序=_=0,下载连接:
http://www.pe-explorer.com/download/PE.Explorer_setup.exe
这个版本跟目前网上下载的有一点不一样,具体怎么不一样我不清楚,反正这个Exe的生成时间是2003/10/21 00:40,晚了一天,
个头也比世纪上的原版镜像大一些,是2.46M.
【工具】LordPE,OllyDbg,WinHex
【音乐】沧桑叹,大渡口,白河寒秋
【保护】用ResScope打开RCDATA的各窗体资源项,呈现五颜六色无法识别的Hex编辑状态^_*
凭我多年的YY经验,一看就知道窗体被加密过了(众:你火星来的吧?地球银都知道了),怎么加密的呢?
不管他,看看他怎么解密的先.
要解密首先怎么着也得访问想解密的资源吧,那偶就在资源地址下内存存取断点,不信断不下来.起初我是找主窗体资源的VA地址,在那里下了断,发现是断下来以后,屏幕上会挡着一块带显示懒显示的窗体,影响拷贝Olly里的代码到WPS中,看样子,资源是在窗体创建前解密的,那敢情好我就换了个靠门儿的地儿,我下在了splash窗体资源上,断下时候是一条REP MOVS指令:
[code]
004027E0 /$ 56 PUSH ESI
004027E1 |. 57 PUSH EDI
004027E2 |. 89C6 MOV ESI,EAX ;EAX作为源地址参数传入
004027E4 |. 89D7 MOV EDI,EDX ;EDX作为目标地址参数传入
004027E6 |. 89C8 MOV EAX,ECX ;ECX作为长度参数传入
004027E8 |. 39F7 CMP EDI,ESI
004027EA |. 7F 13 JG SHORT pexplore.004027FF
004027EC |. 74 2F JE SHORT pexplore.0040281D
004027EE |. C1F9 02 SAR ECX,2
004027F1 |. 78 2A JS SHORT pexplore.0040281D
004027F3 |. F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR D> ;断在这里
004027F5 |. 89C1 MOV ECX,EAX
[/code]
看样子这像是一个通用的数据复制子程序,在断下的那里,ESI,EDI分别指向源地址和目标地址,这个窗体是把006422D8 写到001627E8这里了.
现在因为资源段是不可写的,程序将资源复制到了另一个地方,那他就肯定还要对复制到的地方做手脚,于是在EDI值上使用右键,Follow In Dump来到Dump窗口,将内存存取断点下到了001627E8.
现在一直按F8叫他返回,最后一层是返回到这里:
[code]
004117D7 |. E8 0410FFFF CALL pexplore.004027E0 ;*
004117DC |. 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10]
[/code]
然后倒数第二层返回到这里:
[code]
004112D0 |. FF53 04 CALL DWORD PTR DS:[EBX+4] ;*
004112D3 |. 3B45 F4 CMP EAX,DWORD PTR SS:[EBP-C]
[/code]
倒数第三层返回两次(两次返回指令是靠着的)
从0041130E RETN,返回到00411316 POP EBX,接下来又是RETN,返回到了这里:
倒数第五层:
[code]
00411975 |. E8 22F9FFFF CALL pexplore.0041129C ;*
0041197A |> 8BE5 MOV ESP,EBP
0041197C |. 5D POP EBP
0041197D . C3 RETN
[/code]
直到现在还是程序没有去管那个复制到的地方,我有点忍不住了,呵呵,在上面的RETN返回一次,到了倒数第六层跋涉:
[code]
0040DCB1 . E8 823C0000 CALL pexplore.00411938 ;*
0040DCB6 . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
[/code]
现在继续F8,没几下,就会断下来,因为是在我们F8过程中的CALL里面断下的,在断点窗口看到如下未能如愿消失的行:
0040DCE5|pexplore|One-shot|MOV EDX,DWORD PTR SS:[EBP-C]
双击这行,一下子就告诉我们,是在如下CALL里面发生的事件:
[code]
0040DCE0 . E8 BFFEFFFF CALL pexplore.0040DBA4 ;*这里
0040DCE5 . 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
[/code]
好的,在断下来的地方F9返回,果然Dump窗口出来的已经是窗体的样子了,如你想看具体过程你就继续F8,在回到断下代码的上一层以后,可以看到那层中间每循环一次,Dump窗口就会解密一个字节,直到解密完毕.
因为以上调用复制和解密的语句都处在同一层,我们有理由相信,这一层很有好戏看,于是清除所有断点,着重分析这层代码:
[code]
;分析点前面不远处有一个FindResourceA,将其也看了下
0040DC4E . E8 C97AFFFF CALL <JMP.&kernel32.FindResourceA> ; FindResourceA
0040DC53 . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX ;这种堆栈形式的存放数据,是Delphi里面的局部变量
...
...
0040DC9F . 55 PUSH EBP ;我将分析起点放在这里是因为看着PUSH EBP比较好看
0040DCA0 . 68 11DD4000 PUSH pexplore.0040DD11
0040DCA5 . 64:FF30 PUSH DWORD PTR FS:[EAX]
0040DCA8 . 64:8920 MOV DWORD PTR FS:[EAX],ESP
0040DCAB . 8B55 E8 MOV EDX,DWORD PTR SS:[EBP-18]
0040DCAE . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0040DCB1 . E8 823C0000 CALL pexplore.00411938
0040DCB6 . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0040DCB9 . 8B40 04 MOV EAX,DWORD PTR DS:[EAX+4]
0040DCBC . 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX
0040DCBF . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0040DCC2 . E8 81350000 CALL pexplore.00411248
0040DCC7 . 83E8 04 SUB EAX,4 ;这里为窗体资源复制到的地址,刚才被+4现在减回去
0040DCCA . 8945 DC MOV DWORD PTR SS:[EBP-24],EAX
0040DCCD . 8B45 E0 MOV EAX,DWORD PTR SS:[EBP-20]
0040DCD0 . C700 54504630 MOV DWORD PTR DS:[EAX],30465054 ;将窗体头四个字节写为'TPF0'
0040DCD6 . 8345 E0 04 ADD DWORD PTR SS:[EBP-20],4 ;挪动到这四个TPF0字节结尾处
0040DCDA . 8B55 DC MOV EDX,DWORD PTR SS:[EBP-24] ;参数1:解密长度
0040DCDD . 8B45 E0 MOV EAX,DWORD PTR SS:[EBP-20] ;参数2:解密首地址
0040DCE0 . E8 BFFEFFFF CALL pexplore.0040DBA4 ;调用解密子过程
0040DCE5 . 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
0040DCE8 . 8B12 MOV EDX,DWORD PTR DS:[EDX]
0040DCEA . 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0040DCED . E8 76370000 CALL pexplore.00411468
[/code]
该解密Call完成每个窗体的解密过程,起初我设想在每个窗体解密后,将解密后的窗体内容复制并覆盖原资源项内容,但是这个程序的窗体较多,而且还需要手动点开每个窗体,所以我只还原了一个窗体,然后停工懒得搞了.
这样过了几个月.后来见到了一个解密汉化版,于是想起来这档子事儿,拿出Olly,又手动还原了另一个窗体,感觉这种还原方式太原始,前天开始,去分析解密子过程,感觉偶分析算法功力不够.
昨天夜里做了一夜怪梦.早上发现有人在001发帖儿,说直接将资源坐地解密,就在资源段解回去.还没看完,醒了一次.又做梦,被人追杀.
敢情是哪位比PeExplorer作者还BT的高人托梦给我的说!于是在程序复制为PeExplorer_B.exe,用LordPE在结尾加了一个段,RawSize为400,VSize为1000,在这个段上使用tuncate at end of section扩展整个文件,VA是00682000,编写代码如下:
[code]
00682000 8B15 04226800 MOV EDX,DWORD PTR DS:[682204] ;取出长度参数
00682006 A1 00226800 MOV EAX,DWORD PTR DS:[682200] ;取出地址参数
0068200B 83F8 00 CMP EAX,0
0068200E 74 21 JE SHORT pexplore.00682031 ;以地址0为结束条件
00682010 C700 54504630 MOV DWORD PTR DS:[EAX],30465054 ;'TPF0'
00682016 83C0 04 ADD EAX,4
00682019 83EA 04 SUB EDX,4
0068201C E8 83BBD8FF CALL pexplore.0040DBA4 ;将窗体就地解密
00682021 8305 02206800 08 ADD DWORD PTR DS:[682002],8 ;处理下一组的长度,改写682000那句指令的参数
00682028 8305 07206800 08 ADD DWORD PTR DS:[682007],8 ;改写682006那句
0068202F ^ EB CF JMP SHORT pexplore.00682000 ;循环
00682031 CC INT3
00682032 C3 RETN
[/code]
此代码用OllyDbg写下来然后拷贝到WinHex里面粘贴的.粘贴时候去掉前面地址,和后面的多余部分,选ASCII-HEX.
在682200开始,我依次存放了需要解密的$1E个窗体的地址,长度.
这段程序循环读出每个需要解密的窗体参数并加以解密,当然,为了就地解密,资源段的属性增加了可写属性,而新增的代码段,也要具有可写属性因为他要自己写自己的指令参数.
试试在OEP处跳到这里执行,并不奏效,应该是解密子过程中间用到了一些初始化过的局部变量/数组.
于是原来的调用解密过程的地方下断,断下以后来到00682000执行(右键,New Orginal Here),呵呵,等到执行到INT3那句时候,在Dump窗口,看看那些窗体资源VA地方,整齐的窗体内容都白花花的出来了.
啦啦啦,抄起LordPE,dump Region,选上资源那段,存下来,他替我们取了个名儿:Region005C8000-00682000.dmp,然后把他弄到原来程序里面,就算是大功告成了!
将原文件复制为另存为PeExplorer_T.exe,用WinHex打开Region005C8000-00682000.dmp,全选+复制,再打开PeExplorer_T.exe,定位到资源的RawOffset:001BCA00,在那里Ctrl+B,粘下来.
保存并运行,当然要提示Runtime Error at xxxxxxxx,呵呵,肯定是程序对解密过的窗体再次运算以后,鬼知道变成啥了,不管啦,本来准备把动态创建窗体的部分完全抠掉,后来还是只抠掉了原程序里面解密的一步,就是这里:
[code]
0040DCE0 . E8 BFFEFFFF CALL pexplore.0040DBA4 ;调用解密子过程
[/code]
这个呢Delphi里面函数调用使用常规寄存器传参数,所以堆栈不需要调整,因此把他改为了nop,nop,nop,nop,nop.
保存运行,程序正常出来了,爽,将他窗体的MS Sans Serif都换成Tahoma先,呵呵,这才是解这个BT软件的乐趣所在呀~~
至于破解时间限制什么的,没弄,也不想弄,我哪能整天找到那么多UPX的壳来用他脱呢?
【总结】Delphi编译器生成的程序结构清晰,代码优美,堆栈稳定不需调整,实乃挖孔打洞的首选程序之一,适合像我这样的初菜练手!这次主要是找解密点,
和想一些火星点子,感谢托梦给我的那位大哥!