用Dede再次大战一个工资管理软件

目标锁定: 某款工资软件

分析：可以从两个地方入手：1 登陆菜单中判断时间过期处  2 填写注册信息的表单
下面先从2入手

1 文件脱壳，分析完毕
2 进入“窗体”，看每一个窗体的标题，找到“公司信息及注册”TFrm_ComPany
3 找到其中的一个按钮
    object BtnReg: TBitBtn
      Left = 144
      Top = 8
      Width = 89
      Height = 25
      Caption = '马上注册'
      Default = True
      Font.Charset = GB2312_CHARSET
      Font.Color = clRed
      Font.Height = -12
      Font.Name = '宋体'
      Font.Style = []
      ParentFont = False
      TabOrder = 0
      OnClick = BtnRegClick  <---
4 在“过程”里面查找类名为TFrm_ComPany的类对应的单元名，为CompanyUnit
或者 在“工程”里面创建文件，在生成dump目录的events.txt 里面查找TFrm_ComPany，知道该文件的名字是CompanyUnit.pas
5 点击CompanyUnit，在右边“事件”中看到BtnRegClick等这几个方法调用，一个一个察看
6 先双击BtnRegClick，察看该过程的代码
* Reference to: forms.TApplication.MessageBox(TApplication;PChar;PChar;Longint):Integer;
这里应该是弹出"填写公司名称"的窗口，继续往下走

接下来执行了一个SQL，根据后面的分析，应该是验证完注册马之后，才保存用户单位信息，所以验证应该在此处前面
* Possible String Reference to: 'Update Sys_Company  Set 企业名称=:Company,企业地址=:Address,联系电话=:tel,网址=:Web,'
* Possible String Reference to: ' 电子邮件=:Email,硬盘号=:HardWareId,注册号=:SerialNo'
* Possible String Reference to: ' where 编码=:DiskNo'

从Try开始，操作数据库，所以Try往上
从此处往上找jmp，
005010B9   E955040000             jmp     00501513  <---这个00501513直接就是End了
如果要不执行该句，往上只有
00501097   7425                   jz      005010BE

因此，思路有了
从头开始看
* Reference to control TFrm_ComPany.EdtComPany : TdxEdit
* Reference to: controls.TControl.GetText(TControl):TCaption;
* Reference to: forms.TApplication.MessageBox(TApplication;PChar;PChar;Longint):Integer;
检查公司名不为空
* Reference to control TFrm_ComPany.EdtSerialNo : TdxEdit
* Reference to: controls.TControl.GetText(TControl):TCaption;
取得序列号，不知道做了什么
* Reference to control TFrm_ComPany.EdtSerialNo : TdxEdit
* Reference to: controls.TControl.GetText(TControl):TCaption;
又取了一遍
然后又作了什么，就到了
00501097   7425                   jz      005010BE  ，从005010BE继续顺利前进
否则，不跳的话，Label1付值，应该就是显示“注册号不正确”
* Reference to control TFrm_ComPany.Label1 : TLabel
* Reference to: controls.TControl.SetText(TControl;TCaption);

所以关键就是这里的jz要改成jmps

在工具--> 地址偏移转换器中,RVA输入00501097，得到物理地址00101097
用UltraEdit找到00101090，在第7 8 列有7524

修改之后，重新登陆，发现仍然说试用期以过，看来还是只能从检查试用期着手

 

看看MainFrm中,登陆窗体是如何载入的
1 查找TMainFrm,单元名Main
2 在生成的工程文件Main.pas中找到TFrm_ComPany，
发现
procedure TMainFrm.N8Click(Sender : TObject);
begin
(*

* Reference to : TFrm_ComPany.Proc_00500C4C()
|
00729850   E8F773DDFF             call    00500C4C
00729855   C3                     ret

*)
end;
由此可知TFrm_ComPany.Proc_00500C4C是初始化函数

 

上面没什么思路，从1开始入手
1 找到TUserLoginFrm
object BtOk: TFlatButton
OnClick = FlatButton1Click
2 找到从events.txt里面找到其对应的为LoginWinUnit（单元名）或直接在过程里面找TUserLoginFrm，注意过程中的类名不按照顺序排列的
3 找到事件FlatButton1Click
TUserLoginFrm.Proc_005085C8() 是Main里面调用登陆的启动函数

4 启动的时候，先检查密码错误，然后弹出“试用期结束”，然后弹出注册框
所以，直接找到
 Possible String Reference to: '密码输入错误!!!' 这行
00508D3D   685C8F5000             push    $00508F5C

之后的函数每一个都很重要了，一个个的看
* Reference to: Unit_00409424.Proc_0040BC18
  一进入就看到一个* Reference to: kernel32.GetLocalTime()

根据上面，显示一个对话框有固定的语句

* Reference to: controls.TControl.GetText(TControl):TCaption;
|
00508BD5   E8CE0BF3FF             call    004397A8
00508BDA   8B45E4                 mov     eax, [ebp-$1C]
00508BDD   50                     push    eax

* Possible String Reference to: '不存在该工号的用户!!!'
|
00508BDE   68D48E5000             push    $00508ED4

* Reference to: Unit_00409424.Proc_0040BC18
|
00508BE3   E83030F0FF             call    0040BC18
00508BE8   83C4F8                 add     esp, -$08
00508BEB   DD1C24                 fstp    qword ptr [esp]
00508BEE   9B                     wait
00508BEF   8D55E0                 lea     edx, [ebp-$20]

* Reference to control TUserLoginFrm.LoginName_Edit : TdxPickEdit
|
00508BF2   8B86FC020000           mov     eax, [esi+$02FC]

* Reference to : TdxInplaceMaskEdit._PROC_004C742C()
|
00508BF8   E82FE8FBFF             call    004C742C
00508BFD   8B45E0                 mov     eax, [ebp-$20]

* Reference to pointer to GlobalVar_00734AC8
|
00508C00   8B15E82E7300           mov     edx, [$00732EE8]

* Reference to field GlobalVar_00734AC8.OFFS_0038
|
00508C06   8B5238                 mov     edx, [edx+$38]

所以我们排除很多无用的代码

* Reference to: Unit_00501C00.Proc_00504DF8 这是纪录这次登陆的日志，这里也是唯一可能的地方了，双击进入
什么都不用想，找jmp
00504E4B   E92A010000             jmp     00504F7A <--这里基本就是退出

但仔细察看后，发现没有什么jz,jnz，光是jmp是没有作用的

于是只能往上找，在检查了用户名，密码的SQL后面，发现了
00508CCC   E81790FFFF             call    00501CE8
它里面有和运行日期相关的SQL,应该是第一次运行建立帐号的，如果账号已经存在了，就把序列号，上次使用时间全部取出来，
可能用于判断

(实在搞不定了，我狠狠心把00508CCC得E81790FFFF改成9090909090,最后成功)

总结: 作者设计的加密还是还是比较小心,浪费我好多时间,最后只有咬牙赌运气,没想到成功了,本来准备用Softice调试的,无奈本机是XP系统,要执行那个所谓的21步骤才能运行,所以还是采用静态分析的方法了.

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=636116