记录一次某款机房还原卡的密码追踪(静态分析+动态分析)

DingDangMao001

本文章仅为逆向技术学习与交流之用，专注于技术原理、思路拆解及技术点探讨，所有内容均基于“学习研究”目的输出，不涉及任何商业用途、恶意破解、侵权盗用等违规违法行为，切勿用于违反规则等行为。机房管理员如忘记还原卡密码，可以提供支持。
使用工具X64dbg和IDA Pro8.3
这个软件有底层的驱动，这个界面是上层Windows的应用程序，咱们从这个程序入手，来动态追取密码。
依旧x64dbg打开这个进程。
我用的吾爱破解工具包的x64dbg带有bp插件，如果没有的话可以用命令行的方式进行断点
bp xxxx，这里用的断点就是text之类的断点，试试GetwindowtextW断点试试能不能断下来。
，发现这个可以断下来
第一个断下来的不是我输入的用户名和密码，这个还原卡在刚进底层的时候默认用户名是sys所以用户名不用再进行追踪，只用追踪密码即可。
按F9依次运行直到出现我输入的密码。
输入的123就是我的密码了。
按F8继续追踪，看看经历了什么流程，我追到了一个地方用来检测用户名的，经过了一个call一个密文的字符串显示出来了，接下来就是把这个密文还原过去，我看着像base64编码，
，经过解码后输入这个密码后，成功进入到了管理界面

接下来进行静态分析，由于在od里追到了一个验证类的函数，拖进ida进行分析看看。
,刚才经过了UH_CheckUserRight这个call才变化，所以在IDA搜索看看有没有这个函数，发现能搜到。但里面什么也没有，搜了搜thunk说明是个转发函数，我就猜测可能转发给其他dll文件了
，很好这里就可以反编译这个dll文件了。


这里有个ENCODE进去看看里面写了什么。 发现又是thunk，继续分析导入的这个dll文件。
搜到这个函数了，查看他返回了什么值，进去一看是一个标准的base64函数， 。
到此就可以写一个CT表来读取这款还原卡的密码了，在刚执行完这个call后进行base64编码的搜索，就可以找到，然后进行指针扫描，导出CT表。
附加进程后输入一次错误密码后就会得到base64编好码的字符串，进行一下解密就可以得到完整的密码了。

087

看这样是可以的

echo88

很好，收藏了~

zdmin

很好，收藏了~

Ined

感觉是不错啊

crackjack

楼主辛苦了

samesuke

看起来有点复杂