怎么绕过网络验证（破解网络验证程序）

偽鉨變壞 2023-03-14 08:44:23

收藏赞分享

网络验证保护的程序也是比较流行的，把验证客户端程序的数据放在服务器上与客户端进行交互比对。

怎么绕过网络验证（破解网络验证程序）(1)

这个小程序分客户端和服务端，正常情况下我们只能了解客户端，将客户端程序CrackMeNet.exe拖入IDA中进行分析，通过导入表函数我们可以知道是通过send()和dev()套接层链接函数进行网络验证的。

怎么绕过网络验证（破解网络验证程序）(2)

两个函数原型：

int send(

SOCKET s, //套接字描述符

const char FAR *buf, //缓冲区

int len, //实际要发送的数据的字节数

int flags //附加标志，一般为0

);

int recv(

SOCKET s, //套接字描述符

const char FAR *buf, //缓冲区

int len, //实际要发送的数据的字节数

int flags //附加标志，一般为0

);

通过交叉引用（Ctrl x），来到调用这两个函数的位置知道，我们输入的数据是经过异或加密和解密的。

怎么绕过网络验证（破解网络验证程序）(3)

这个时候我们修改这个程序的思路就是，将封包中的数据整合到一起，客户端与服务端交互的两个函数send和recv去除，send函数数据加密是在函数前，而recv数据解密是在后，所以将函数去除之后，我们只要在recv函数地址处跳过后面的解密段，而send函数的修改参考recv函数接收数据后的代码读取位置。

分析一下recv函数以及它的解密代码：

网络连接的接收函数recv获取数据后将它从eax转移到参数var_28C处，即 [ebp var_28C] ，参数var_238作为它循环解密的计数器，初始值为0；

所以ebp这个寄存器上放有我们的接收到的待解密数据，在004016A6处，将待解密数据转移到edx寄存器的低位地址dl里；

再将它与6Eh进行异或(xor)解密。将解密后的数据放入 [eax 41AE68] 这个地址处；

计数器 [ebp var_238] 数值增加，解密下一位置，直到将加密数据解密完，跳转出去（地址0040169C：jge short loc_4016BE）。

怎么绕过网络验证（破解网络验证程序）(4)

所以在修改接收函数recv时在我们函数recv()的第一个参数位置00401655处，将push指令修改为jmp short 004016BE （这里代码位置均为0040x16**，所以是段内短转移），直接跳转到完成解密之后跳转的位置。

在修改代码之前，我们需要先确认解密后数据存放的位置长度，也就是0041AE68处，以确认send函数如何修改，在ollydbg中在解密存储完后的跳转位置004016BE设置断点，打开服务端，F9运行程序，输入字段点击注册，停在断点，数据窗口中，搜索41AE68地址如下：

怎么绕过网络验证（破解网络验证程序）(5)

可以看到解密后数据存放位置位于41AE68~41AEC1这段地址。

因此程序得到解密后的数据后，程序用到它们，必然会访问这段地址，《加密与解密》作者是写了一段IDC脚本找到程序有一段mov指令从该段获取数据，即：mov dl ,byte_41AE76，这是我们客户端输入数据中添加的随机数，但是我试了这个脚本没有获取到该指令的文本数据，只有一个空文本，不知道什么原因，所以这里直接把这个地址拿来用了。

分析一下send函数前的参数是怎么产生的，加密部分和解密的类似，这里仅解析加密前的数据如何获取的：

怎么绕过网络验证（破解网络验证程序）(6)