前言 RunAsDate是一个小工具,允许您在指定的日期和时间运行程序,不过有人用它来破解有时间限制了。此实用程序不会更改计算机的当前系统日期和时间,但只会将指定的日期/时间注入所需的应用程序。该软件是个免费软件,可以通过 [color=#c4fc8 !important]官网 下载。有一天想看看它到底怎么实现的。经过分析是通过注入dll来Hook几个关于时间获取API实现的。32位的和64位的代码实现没啥区别,本篇以64位进行分析,32位感兴趣自行分析。 主角和工具- Detect it easy 1.01
- IDA 7.5
- X64Dbg
- RunAsDate
探测 我们先到官网下载原汁原味的程序,如下图所示进行下载: 解压后,得到了3个文件: 运行该软件,界面如下:
为了检验工具的效果,先写一个获取时间的C代码(随便一个语言就可,不过代码需要自己写),如下: #include <stdlib.h>#include <stdio.h>#include <time.h>int main(){ time_t t; time(&t); struct tm _t; errno_t err = localtime_s(&_t, &t); err ? puts("获取时间失败!!!") : printf_s("%d/%0.2d/%0.2d\n", _t.tm_year + 1900, _t.tm_mon + 1, _t.tm_mday); system("pause"); return 0;} 编译运行,获取得到当前时间: 来试试工具有没有效果,注意把下图所示的红框框住的选项选中,否则没效果,然后点击运行,发现起作用: 初步分析 既然工具咋用已经探测完毕了,我们来进入分析环节。先用Detect it easy 1.01探测一下: 是C++写的,且没有任何加壳,为逆向分析降低了足够的难度。直接拖到IDA进行抄底。启动一个新进程的API函数有很多,有ShellExecuteEx系列函数、ShellExecute系列函数和CreateProcess系例函数。我们都给下上断点,来看看它到底是用哪个函数启动的,设置好点击运行,断点断到CreateProcessW,如下图所示。 通过堆栈定位可以定位到调用地址,如下图所示: 定位到IDA中,然后大体分析一下函数,重命名一些函数方便进一步分析,并发现一些可疑函数,命名好名字,关键伪代码如下面几张图所示: 下图是执行上面子函数的主过程。有经验的一看就知道,这就是典型的远程线程注入过程。 什么是远程线程注入呢?首先你准备一个待注入的Dll,假设名字为A.DLL。如果加载一个Dll,常规的办法就是用LoadLibrary函数加载。然而我是A进程,想让B进程调用函数,就必须启用一个线程,需要调用的API就是CreateRemoteThread函数,只能通过lpParameter传递一个参数。它们的函数原型如下: HANDLE WINAPI CreateRemoteThread(__in HANDLE hProcess,__in LPSECURITY_ATTRIBUTES lpThreadAttributes,__in SIZE_T dwStackSize,__in LPTHREAD_START_ROUTINE lpStartAddress,__in LPVOID lpParameter,__in DWORD dwCreationFlags,__out LPDWORD lpThreadId);HMODULE WINAPI LoadLibrary( _In_ LPCTSTR lpFileName); 而每一个进程中,LoadLibrary函数地址都是一致的。故我需要通过一段ShellCode,将一些参数聚合起来直接传给它,让它负责分析传来的参数并实现注入功能。而ShellCode怎样写到B进程呢?通过VirtualAllocate(Ex)函数和WriteProcessMemory函数配合将ShellCode和待解析的参数一块写进去。从IDA分析结果可知,ShellCode就是sub_140006B3C,我们来看一下: 为了方便阅读,伪C代码如下: 从ShellCode很明显看出。a1就是通过CreateRemoteThread传来的参数。a1的地址加40偏移的值就是一个函数地址,在把a1的地址加上64的偏移作为参数传入得到返回值v2。v3应该是一个函数地址,通过a1加上48的偏移,把v2和a1加上586的偏移作为参数传入得到返回值v3,如果返回值不为空调用v3,把a1加上620的偏移作为参数进行传入。只从ShellCode看不太出来是啥,如果有经验就应该大体能猜出来。具体分析一下它传过来的参数是如何包装的。 从上图发现*(lpFileName + 66)就是所谓待注入进程调用ShellCode的参数。而从Buffer存储写进去,但遗憾的是,我压根不知道Buffer里面的内容到底是啥,看前面的伪代码也看不出来,只看到它的首地址被清零。这个就是F5插件的缺陷。它反编译成伪C代码不是准确的,甚至是错误的,比如函数调用的参数有时会有错误,或者直接JMPOUT,还是看汇编准确。不过我们可以看一下Buffer被IDA识别为char,但明显看到使用该变量的函数告诉咱们这个是大小至少为0x288的char数组。故我们可以看看Buffer的堆栈来进行修正。 从堆栈可以明显看出所谓的fucs就是属于Buffer的,所以上面的部分就是给参数打包的过程。我们直接改Buffer,将它改为char Buffer[0x288]。然后重新F5,看一下代码的变化: 反编译出来的伪C代码就看起来正常了,虽然看起来还是比较别扭,不过包装参数的过程比较明晰了。然后我们把它拖到X64Dbg,来进行验证一下过程,我们先通过下VirtualAllocEx断点获取它们返回的申请到的物理页虚拟首地址,把它记录下来。 然后在CreateRemoteThread下断点,停住创建的待注入的程序。然后另起一个X64Dbg附加上,直接看一下记录的地址的内容。首先我看的是参数部分,直接在内存窗口选好0x288字节保存到文件,方便一一对应,如下图所示: 下图就是所谓的ShellCode,在函数头部下一个断点: 然后放开RunAsDate程序,被注入的程序就停在上一步下的断点上,然后我们一步一步的跟,看看调用的是什么函数,先跟到第一个,发现是LoadLibraryW函数: 其次就是GetProcAddress函数,用来获取Dll中InitDate函数地址: 然后校验获取是否成功,传参FILETIME结构体调用InitDate函数: 根据IDA和X64Dbg的分析,每个数据的对应如下图所示: 深入分析 通过初步分析我们知道了这个软件的基本原理。但功能实现全部在所谓的dateinjo1_64.dll当中。我们可以在注入的程序时,直接从临时文件夹薅出来。在之前函数分析也知道它是直接把资源释放出来的,直接用资源编辑工具也能提取出来,这我就不继续描述了,直接开始分析。具体分析过程就不详细描述了,完全凭自己的正向开发经验,这个Dll很简单,最后命名好名字后如下图所示: 综上可以看出,它是通过对GetLocalTime、GetSystemTime、GetSystemTimeAsFileTime这三个函数进行挂钩子。怎么挂钩子的可以在详细介绍一下: 可以看出,它是通过构造一个mov和jmp eax进行Hook,感觉不直观,来看一下下面一个被RunAsDate注入的被挂钩的函数: 通过上图,知道为什么代码要这样构造了吧? 总结与思考- RunAsDate并不高大上,原理很简单,其实本质就是用了远程线程注入+Hook所有获取时间函数的API的方式实现时间的控制。
- 有些人利用RunAsDate,来破解一些软件时间使用限制。想要保护自己商业软件的合法权益,可以通过它的实现原理,检查是否程序模块有没有它的Dll,有的话直接退出程序或者修复Hook。也可以检查函数是否被Hook的方式进行反制。
- 使用IDA时,不要过于依赖F5,虽然直观方便,但它反编译出的伪C代码并不是完全正确的,甚至是错误的,如果想弄对必须进行修改调整。
- 软件的Hash值:EF847F60C02856AB013438D7A55A6CC1。
- 64位的注入的Dll的IDA分析结果:[color=#c4fc8 !important]蓝奏云下载 —— 密码:f854
|