关于电驴资源提取精灵 的逆向
这个是源文件,早上刚下的时候,我震惊了,输入verycd网址,如http://www.verycd.com/topics/2922088/不一会就会在下面出现解析出来的ed2k地址
因为大家知道电驴是现在设置了权限的,如果你不是钻石级会员,是没有下载链接的,这个工具却得到了链接
这是为什么呢?难道破解了?
带着这个疑问,开始着手研究,
使用ida分析该程序,蛮大的,1M+,一般1M意味着里面将有至少上10W行C/C++代码了,当然包括所有你链接的库
先来整体分析:export->start->WinMain,打开以后是这样:
int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
{
return sub_501092(hInstance, hPrevInstance, lpCmdLine, nShowCmd);
}
一般MFC才是这样,我们再往下看
signed int __stdcall sub_501092(int a1, int a2, int a3, int a4)
{
signed int v4; // ebx@1
int v5; // esi@1
int v6; // edi@1
int v7; // ecx@5
int v8; // eax@7
v4 = -1;
v5 = AfxGetThread();
v6 = *(_DWORD *)(AfxGetModuleState() + 4);
if ( sub_5053EC(a1, a2, a3, a4) && (!v6 || (*(int (__thiscall **)(int))(*(_DWORD *)v6 + 132))(v6)) )
{
if ( (*(int (__thiscall **)(int))(*(_DWORD *)v5 + 80))(v5) )
{
v8 = (*(int (__thiscall **)(int))(*(_DWORD *)v5 + 84))(v5);
}
else
{
v7 = *(_DWORD *)(v5 + 28);
if ( v7 )
(*(void (**)(void))(*(_DWORD *)v7 + 88))();
v8 = (*(int (__thiscall **)(int))(*(_DWORD *)v5 + 104))(v5);
}
v4 = v8;
}
AfxWinTerm();
return v4;
}
这回无疑了,不过我机子上没sig,我也不太用sig这玩意所以关键函数都显示不出来,不过左边解析出来的4000+函数,让我还是压力很大
MFC最彻底的逆向方式,还是找资源控件DLG,然后找各自消息回调,分析类成员函数和变量,这是个很痛苦的过程,需要在MFC的消息结构体中和各种复杂类中分析老长时间,所以需要有种投机取巧的方式
回到程序,点击提取按钮点击以后,会变成正在提取,根据这个提示,首先想到SetWindowText,或者是尝试ollydbg下消息断点(不过这玩意我懒得试了)
于是让IDA用Windbg来调试下断,不过断下来的有点让我不知所措:
BOOL __thiscall sub_4FF391(int this, LPCSTR lpString)
{
int v2; // eax@1
BOOL result; // eax@2
v2 = *(_DWORD *)(this + '8');
if ( v2 )
result = (*(int (__thiscall **)(int, LPCSTR))(*(_DWORD *)v2 + 128))(v2, lpString);
else
result = SetWindowTextA(*(HWND *)(this + 28), lpString);
return result;
}
再跟出去又出现了这个
v4 = (int)a1;
if ( a1 )
{
if ( a4 )
*(_DWORD *)a4 = 0;
v6 = 0;
switch ( a2 )
{
case 0:
v7 = a3;
*(_DWORD *)(v4 + 204) = 1;
sub_4A4170(v4 + 64, (LPCSTR)*v7);
sub_4FF391(v4, *(LPCSTR *)(v4 + 64));
*(_DWORD *)(v4 + 204) = 0;
SendMessageA(*(HWND *)(v4 + 28), 0x111u, (WPARAM)&unk_3000000, *(_DWORD *)(v4 + 28));
break;
可见最后只是发了一个WM_COMMAND给某控件,连网络函数的影子都没见到,所以得另想办法
不过留心输出,会发现:每解析出一个地址,会有:
Unloaded D:\Windows\system32\peerdist.dll
Unloaded D:\Windows\system32\AUTHZ.dll
Unloaded D:\Windows\system32\USERENV.dll
自然而然想到下断点到peerdist加载的时候,所以sxe ld:peerdist,不过结果我啥都没得到,可能我用法不对,windbg也不是一直用
那么我就只好采用最根本的方式,bp loadlibrary,这次再点按钮就断下了,从loadlibraryw回到上级调用,会发现进入了wininet.dll空间
这回一目了然了,果然还是调用了wininet api的,很多网络功能都是靠这个实现的,找到了根源,那么这回目标明确,
直接在httpopenrequest和httpsendrequest上下断,程序稳稳地断了下来,结果如图:
最主要看sendrequest第二个参数,他是请求的url,可以看到左边hex里www.verycd.gdajie.com/detail.htm?id=917073
而返回原程序领空,会发现这里有拼凑请求的代码段
最后拼凑的请求是:
EE FE EE FE EE FE EE FE66 4C BA 45 B5 A8 00 1A铪铪铪铪fL篍胆..
41 63 63 65 70 74 3A 2069 6D 61 67 65 2F 67 69Accept: image/gi
66 2C 20 69 6D 61 67 652F 62 6D 70 2C 20 69 6Df, image/bmp, im
61 67 65 2F 78 2D 78 6269 74 6D 61 70 2C 20 69age/x-xbitmap, i
6D 61 67 65 2F 6A 70 6567 2C 20 69 6D 61 67 65mage/jpeg, image
2F 70 6A 70 65 67 2C 2061 70 70 6C 69 63 61 74/pjpeg, applicat
69 6F 6E 2F 78 2D 73 686F 63 6B 77 61 76 65 2Dion/x-shockwave-
66 6C 61 73 68 2C 20 6170 70 6C 69 63 61 74 69flash, applicati
6F 6E 2F 76 6E 64 2E 6D73 2D 65 78 63 65 6C 2Con/vnd.ms-excel,
20 61 70 70 6C 69 63 6174 69 6F 6E 2F 76 6E 64 application/vnd
2E 6D 73 2D 70 6F 77 6572 70 6F 69 6E 74 2C 20.ms-powerpoint,
61 70 70 6C 69 63 61 7469 6F 6E 2F 6D 73 77 6Fapplication/mswo
72 64 2C 20 2A 2F 2A 0D0A 52 65 66 65 72 65 72rd, */*..Referer
3A 20 68 74 74 70 3A 2F2F 77 77 77 2E 76 65 72: http://www.ver
79 63 64 2E 67 64 61 6A69 65 2E 63 6F 6D 2F 64ycd.gdajie.com/d
65 74 61 69 6C 2E 68 746D 3F 69 64 3D 39 31 37etail.htm?id=917
30 37 33 0D 0A 41 63 6365 70 74 2D 4C 61 6E 67073..Accept-Lang
75 61 67 65 3A 20 7A 682D 63 6E 0D 0A 00 AB ABuage: zh-cn...
不骗你们,当时我逆向CSDN免积分下载地址获取器,他也是这么干的
所以目标明确,只需要知道这个网站是干啥的就行了,可以发现,这个网正是原始的verycd,里面资源号和verycd都是一一对应的!!!
该程序间接用这个网站来进行搜索,而并没有做黑客的事
其实很多程序看起来像黑客,做的事情其实很简单,就是借用别人的东西,实际上没干什么事情
另外这个程序这么大,核心代码估计还上不了300行,所以肯定是静态链接的MFC库
以后就到www.verycd.gdajie.com找东西好了
页:
[1]