破解前阵子有网友叫我帮忙破解一个控件.用Dotfuscator混淆了的,字符串也加密成这种形式
IL_2b19: ldstr bytearray (9F FA 9A FC 9E FE 8B 00 6E 02 71 04 ) // ........n.q.
IL_2b1e: call string a$PST06000001(string)

.net软件的保护方法无非就是限试用时间,限访问IP,用license key,运行时显示版权提示这几种.
限时间或IP是最容易搞定的,不论有没有被混淆,他都要调用framework的东西,而framework里的东西无法混淆,所以查找DateTime, Request之类的字眼,几下就搞定.
如果用key,也容易跟踪,起码他对外曝露了一个类来接收key.如果控件在检查到在非法使用时抛出个异常,那是个更愚蠢的做法,因为.net会提供出错时的调用堆栈,方便我跟踪.显示版权提示而且字符给混淆的就最难办了(没混淆的倒是容易,查找就是了)因为他从来不会像正式版那样工作.
唯一难倒我的控件是Intersoft WebGrid.net 3.5,因为他用Remotesoft Protector处理过.这Protector不算混淆器,他是把.net的代码做成win32镜像,只把元数据保留.破他处理过的控件和破加了密的win32程序一样难,我没这样的本事.当然使用这东西的软件也很少,因为太贵了,要上千美金
这次破的是一个Chart控件的试用版,他在渲染图表时留下了淡淡的声明版权的水印.要破他只能从他混淆字符串的函数入手了,就是string a$PST06000001(string).要写个逆运算的函数
用反编译器反编译了这个函数:
private static string a(string A_0)
{
char[] chs = new char[(uint)A_0.Length];
int i = 732379897;
for (int j = 0; j < (int)chs.Length; j++)
{
char ch = A_0.Chars(j);
byte b1 = (byte)(ch & '\u00ff' ^ i++);
byte b2 = (byte)(ch >> '\b' ^ i++);
chs[j] = (ushort)(b2 << 8 | b1);
}
return string.Intern(new string(chs));
}
第一眼看来,好像很难下手.混淆过程竟然又AND又移位又XOR又OR,还有两个中间变量,然后又混在一起...但是这个算法一定是可逆的,不然他怎么能被加密然后解密.果然,仔细一看,里面有很多地方是吓唬人的.本来AND和OR根本是不可逆的,可以肯定相关的运算是废的:
第一句byte b1 = (byte)(ch & '\u00ff' ^ i++);b1是8位整数,所以ch & ff根本不会改变什么,于是可以简化为(byte)(ch ^ i++)
第二句byte b2 = (byte)(ch >> '\b' ^ i++);没看到什么不妥,ch是16位的,右移8位可能会有影响
第三句chs[j] = (ushort)(b2 << 8 | b1);又在唬弄人了,b2是8位,右移8就是0了,0|b1就是b1
好了,简化后的函数是
private static string a(string A_0)
{
char[] chs = new char[(uint)A_0.Length];
int i = 732379897;
for (int j = 0; j < (int)chs.Length; j++)
{
char ch = A_0.Chars(j);
chs[j] = (byte)(ch ^ i++);
i++;
}
return string.Intern(new string(chs));
}

这下就简单了,^的逆运算就是^,他本身就是加密方法!我可以根据水印的字符去il里查找了,不过这里还有个唬人的地方,因为这函数用byte来处理,所以混淆后的高8位应该是0,但是il里混淆的字符串高8位还有东西,明显是随机加上去的,对解密结果没影响.于是,我把加密后的字符用通配符来查找,例如9F ?? 9A ?? .找到了显示版权信息的函数了,把它清空,搞定!
这竟然还是ms推荐的混淆器...


Posted by Yok at September 7, 2004 09:48 PM | TrackBack

Comments
Yok 竟然成为 .Net 破解高手了？