近日接到一個wince外包項目,要求我給他的軟件提供License控制,本來這個問題很容易解決,如果有源碼的話,只需要在進入主程序之前進行license校驗就可以搞定了,然而要命的就是他沒有源代碼,要求我直接對其exe進行加密。
這可是有點難度的,之前我也沒接觸過匯編,更沒有仔細去研究過PE文件格式,想起來還是覺得很有挑戰的,不過我這人就喜歡挑戰,沒有挑戰,怎么能促進自己學習呢?首先從原理上對這個實現進行一下分析:
1)Wince上的可執行exe文件,也是遵從PE文件格式的,這個以前我略有了解,加密解密不知道這個文件格式肯定是不行的。要實現對現有的EXE文件進行加密,先進行License校驗,再根據校驗結果判斷是否轉到主程序代碼,從匯編的角度來說,就是我自己要寫一段代碼來完成License校驗,然后判斷結果,使用條件跳轉指令來控制是否跳轉到原來的主程序入口點繼續執行,而我自己寫的這段代碼也就是ShellCode了,病毒、黑客技術中這個詞出現的就多了。對于PE文件而言,就是要把我的ShellCode(包括根據結果判斷跳轉的部分)加到原來的EXE文件中,并且更改原EXE文件的入口點地址到我的shellcode處。
2)我自己以前沒接觸過匯編,這下段時間內全部用匯編完成License的校驗代碼,顯然是不那么容易的,我選擇了折中的辦法,準備在我的ShellCode中去加載一個DLL,而License校驗就在DLL中實現。雖然這種方法很容易被破解,暫時也只能是采取這個權益之計了。
3)ShellCode中要使用到一些API函數,因此必須找到一個辦法,在系統內核的地址空間內定位到這些API函數。
根據上面的分析,就把主要的任務分成了三個部分,第二個部分對我來說是最簡單的了,隨時都可以完成,因此我把它放在最低優先等級,我只寫了一個空殼dll可以用來加載作測試。那么接下來我們要做的就是1、3,pe文件格式的資料還是很多的,我想這個也不困難,而關于如何在系統地址空間內定位API函數地址的資料,就不那么好找啦,Windows下面的可能還好點,WindowsCE下面的我還沒看到過。于是我決定從這里入手,如果這關過不去,我就不用再做別的事情了。
經過搜索,關于定位WinCEAPI函數地址的資料,幾乎都出自一篇Hacking Wince的文章,雖然還有《WinCEAPI機制初探》等中文文章,其實都是從Hacking Wince中間轉出來的。Hacking WinCE是篇英文的,大家可以在網上搜索了看看,文章寫的還是比較詳細的,根據文中的方法,先定位到KDataStruct結構,然后再順藤摸瓜往下找,雖然很復雜,但確實可以定位到API函數地址,但是這時我犯了個錯誤,就是我在這篇文章中只看了一下它的實現原理,和它的C++語言的實現,沒有去讀它的匯編實現,因為我不懂啊~我也照著他的C++語言實現自己寫了一遍,調試了一下,基本上了解了是怎么一個過程,然后我就開始學習匯編了,而我犯的錯誤就是從這里開始,我到處找來的匯編資料,然后先了解匯編有哪些指令什么什么的~最后照葫蘆畫瓢,寫了一段匯編代碼實現上面的過程,到頭來要編譯了,才想起來,貌似我用的是8086的匯編,而在WinCE上似乎不是用這個,因為大部分的嵌入式設備采用ARM處理器,所以一般寫wince上的匯編代碼是用arm匯編的,這個時候我才發現我走錯了路,趕緊回頭找了arm匯編的資料,arm匯編的資料也不甚多,一個chm的文檔而已,看了一下,從寄存器開始都和8086的匯編不一樣了,然后仔細學習了一下。最后好歹還是讓我給寫出了arm匯編的代碼,在我的HP2790(windows Mobile 2003)上運行正常,這時候真的是興奮的不得了了。急忙聯系給我外包的老大,讓他試試看這段代碼在他設備上能否成功加載dll,結果卻是令人遺憾的不可以。
為何不可以呢,我又回到Hacking Wince上去,我記得當時看到這么一段,但是當時沒有認真去研究,KDataStruct的定位方法是不能在User Mode下使用的,因為要訪問的是系統內核的地址空間,在User Mode方式下是禁止訪問的。而作者之所以這么用是因為PPC上應用程序都是以內核模式運行的,所以可行。但是老大說他的PPC上也運行不了,后來問到他的PPC操作系統是Mobile5的,看來Mobile5的應用程序也不再是以內核模式運行了,我用VS2005打開Mobile5的模擬器試驗了一下,從寄存器上看到的果然是用戶模式,而在PPC2003的模擬器上,同樣是用戶模式,看來這方法行不通了。
好在Hacking Wince上介紹了另外一種方法,就是SystemCall的方法,這個方法呢原來就是wince系統會開辟一片地址空間0xf0000000~0xf0010000保留不使用,而當執行到這個地址空間的時候,會引發一個異常,然后系統再根據這個異常處理判斷是否引發一個API函數調用,每一個API函數都根據一定的算法映射到這片地址區域(詳細算法請自己閱讀Hacking Wince,我可不想剝奪你學習的樂趣,也不想因為我的錯誤理解誤導你:P)。這個方法的好處是比前面所講的搜索的方法更高效,而且用戶模式下也是可用的。于是乎我又用這個方法實現了我的ShellCode,然后費解的是,我使用的arm匯編指令stmdb,只要后面跟的寄存器寫成{r0-r4}這種形式,在mobile5上運行的時候到這一步就沒反應了,實在是非常的費解。不過我想那位老大跟我說的他的設備是基于Wince.net 4.2 Core的,也就沒在這個問題上花功夫(實際上我后來繞過這一步,到了后面的SystemCall調用的部分,在Mobile5上也出現問題,貌似這個SystemCall的方法只能在WinCE4.2中使用)。完成了shellcode,但一時沒能聯系上給我外包的老大,所以就動手做下一步了。
最后一部就是研究PE文件格式,把我自己的ShellCode“感染”到EXE中間去,這個涉及到一些病毒技術,我就不多說了,網上這方面的資料也不少。我也輕松實現了這一步驟。
而所有的一切在我的PPC2003上運行正常之后,終于聯系上那個老大,程序發過去被認為是病毒隔離了,預料之中,可是放到他設備上還是運行不起來,那就是預料之外了。終于這老大要求的時間也到了,咱做的東西又沒實現功能,估計這老大對我失望了,不理咱了~唉~~~~
這次的學習過程還是讓我了解了不少東西,雖然這外包最終還是失敗了,但還是不覺得虧,畢竟一周的時間里,因為這個外包的壓力,以及求知的興趣,讓我看到了很多之前有時間卻沒看到的東西。不過整整一周都沒好好陪老婆,老婆大人還是蠻有意見的~~:P