对某软件的 时间限制 的 ida 静态分析 与破解

本文是本菜鸟对 ida 静态分析的一次实践。对于本文中所涉及ida 的使用知识，请参阅坛主《加密与解密》第三版 3.2.1--3.2.14  中的相关内容。

闲话不叙。

症状：程序运行一小时后，运行开始不正常。一些字符开始跳动。无其它提示。

思路：从获取系统时间的 API 入手，寻找时间比较的相关代码。

开工。

查壳，无。开发语言： Borland c++ builder 1999

运行以加深对程序的了解。启动程序，直接将系统时间后移一小时，程序出现异常。说明修改系统时间可影响到程序对运行时间的判断。

将程序用ida 载入。在 "functions window" 窗口（ 找不到则　菜单　windows-> functions window 或 alt+ 1），查找时间相关的API。在 functions window 窗口中，系统api 用红底加粗标识。对 "start"列进行排序，可将 api 集中起来，方便查找。（原理？大概因为api 都在导入表中吧）

找到了两个可能相关的函数： getlocaltime 和 getticktime 。前者用来获取系统当前时间，后者用来获取系统启动以来的时间。后者不受修改系统时间的影响。结合前面测试得知程序受修改系统时间的影响，故不考虑 getticktime。

在 getlocaltime 上右键，下断点。

 

f9 运行程序，程序被断下来。

 

 上图中，code xref ：　对此函数进行了调用的函数。绿色部分列举了两个。在函数名上右键，"jump to xref to operand "。可以看到共有四处调用：

 

以上四处，第二处 Sysutils::CurrentYear 顾名思义，只能取到　年份，帮不考虑。其它的三处，需要继续上溯，直到用户代码。

先看　sysutils:now ，转到了

 

 继续上溯对 now 的调用。

 

可以看到调用比较多。通常情况下，我们需要对每一个进行跟踪。但这时我们看到了一个很感兴趣的东东： FormShow。笔者编写过 vb ，知道写图形界面程序的第一步就是 FormShow。估计delphi 也是这样吧。不需要做艰难的决定。直接跟踪。双击“_TFNewGoMain_FormShow+33”。到达下面的界面。

 

.text:00408E43 call    @Sysutils@Now$qqrv              ; Sysutils::Now(void)
.text:00408E48 fstp    dbl_CEEC9C
查阅手册得知，Sysutils::Now() 返回了一个浮点数值。整数部分保存1900年以来的天数，小数部分保存今天已经消逝的时间比例。在 delphi 语言中，浮点数是保存在浮点寄存器 fpu registers 中的。

fstp 指令的意思是将浮点数指令寄存器中的数据保存到 变量 dbl_CEEC9C 中。

右键 dbl_CEEC9C,选择 rename, 将变量dbl_CEEC9C 标记为 my_dbl_CEEC9_now,以方便识别。

现在我们对程序的设计思路比较清楚了。按现在的分析，程序在启动时记录了系统时间。并不断地检查，如果超过了一小时，就开始捣乱。我们只需要找到读取my_dbl_CEEC9_now 的代码，就能跟踪到关键代码了。

 右键 my_dbl_CEEC9_now ，"jump to xref operator"，看到了如下的八处调用。

 

根据 type 列知道，对 my_dbl_CEEC9_now 的操作，有四处读(r)，三处写(w)，我们首先考虑 读的代码。

 幸运的是，我们第一次就到了合适的位置。见到了经典的比较和跳转。

以上三处代码：

.text:00404195 call    @Sysutils@Now$qqrv              ; Sysutils::Now(void)
.text:0040419A fstp    [ebp+var_380]                     ; 取当前时间
.text:004041A0 fld     my_dbl_CEEC9C_now             ;取启动时保存的时间
.text:004041A6 fadd    ds:dbl_404AA0                     ;启动时保存的时间加上一个值（一个多小时）
......

.text:004041ED fxch    st(1)                                   ;交换当前时间(st0) 和启动时保存的时间(st1)
.text:004041EF fucompp                                         ;比较！
......

.text:004041F4 setnbe  dl
.text:004041F7 and     edx, 1
.text:004041FA test    dl, dl
.text:004041FC jz      short loc_40422A                   ;小等于则跳！

.text:004041FE call    sub_4AD208                          ; 干扰函数

 以上代码中，ds:dbl_404AA0  是一个全局变量。保存了限定的时间长度。

00404AA0 dbl_404AA0 dq 0.04166666666666666       ; DATA XREF: sub_403E30+376r

0.04166666666666666  ＝ 1/24,正好一小时，即我们想要的值。

 

观察对 my_dbl_CEEC9_now 的其它几处调用。可以看到，其它的三处 read 和上面的代码基本一样。三处 write 查了查，没什么关系，就不研究了。

对此程序的分析到此结果，接下来只需要对几处变量对修改即可。本文主要介绍 ida 的静态分析，代码修改就不赘述了。 

如果你使用 hex-rays  的反编译功能，分析时要注意的是delphi 语言的参数传递的一个特点。delphi 语言中，函数参数的传递是按照 eax,edx,ecx，栈变量 的顺序来传递的。可以看到，一些明明没有参数的函数，hex-rays 反编译的c 代码中却添加了三个参数。这就是 eax,edx,edx。所以，在反编译的c 代码中，要认真辨别相关函数是否确实通过这些寄存器传递了参数。

 

改成三小时( 3/24 = 0.125 )试试。

查看内存

00404AA0  55 55 55 55 55 55 A5 3F

改为

00404AA0  00 00 00 00 00 00 c0 3F 

 

参考资料：

在线浮点数转换

http://babbage.cs.qc.edu/IEEE-754/Decimal.html

 

delphi 的函数调用约定，浮点数的处理都和不同