复制逻辑)
加密狗复制案例----驱动模拟,内存补丁方案
3.3 加密狗模拟器
加密狗模拟器是一种更为系统化的破解方案,通过完全模拟加密狗驱动的行为,使操作系统认为存在真实的加密狗硬件。
#### 3.3.1 模拟原理
```
应用程序 → 狗API调用 → 用户态驱动 → 系统USB栈
│
[真实硬件] │ [模拟器]
│ │
加密狗设备 │
虚拟USB设备
│
返回模拟数据``
#### 3.3.2 主流模拟器实现方式
**(1)驱动层模拟**
编写虚拟USB设备驱动,在Windows设备栈中注册虚拟的加密狗设备,响应所有与应用层的通信。
- 使用 **UMDF(User-Mode Driver Framework)** 或 **KMDF(Kernel-Mode Driver Framework)**
- 注册为特定VID/PID的虚拟USB设备
- 模拟加密狗的控制传输、批量传输等端点通信
**(2)用户态模拟**
利用虚拟化USB技术,在用户态创建软件模拟的USB设备:
- **USB/IP**:通过网络转发USB通信
- **libusb-win32 过滤驱动**:截获USB通信
- **虚拟USB总线驱动**:创建软件虚拟设备
**(3)商业/开源模拟器**
| 模拟器 | 支持狗型 | 方式 |
|--------|---------|------|
| MultiKey / MK-BUS | SafeNet SuperPro/UltraPro | 驱动层模拟 |
| HASPHL2010 | Aladdin HASP HL | 驱动层模拟 |
| Dump4SKey | SafeNet Sentinel | 用户态+Dump配合 |
| Vkey | Aladdin HASP4 | 用户态模拟 |
| UniDumpToReg | SafeNet Sentinel | 注册表导出+模拟 |
#### 3.3.3 DUMP数据提取
模拟器运行需要的核心材料是"加密狗数据Dump"——即加密狗内部的存储器和算法参数。
**DUMP获取方式**:
1. **USB通信嗅探**:记录所有USB通信数据,重放提取
2. **驱动通信日志**:Hook加密狗驱动层通信接口
3. **芯片直接读取**:对老式加密狗(无MCU保护),可直接读取EEPROM/Flash
4. **漏洞利用**:利用加密狗驱动或固件漏洞提取数据
### 3.4 内存补丁/爆破
如果攻击者的目标是运行特定软件而非普遍性地破解加密狗,内存补丁是最直接的方案。
#### 3.4.1 关键点定位
使用调试器(OllyDbg/x64dbg/IDA Pro)定位软件中的加密狗验证逻辑:
典型验证流程:
1. 检测狗是否存在 → Find() → 若失败 → 退出
2. 读取狗内数据 → Read()
3. 验证数据有效性 → 比较/解密
4. 若验证通过 → 正常运行
若验证失败 → 提示错误/退出/功能限制
#### 3.4.2 补丁类型
| 补丁类型 | 方法 | 持久性 |
|---------|------|--------|
| 内存补丁 | 在调试器中修改内存中的代码/数据 | 仅当次运行 |
| 文件补丁 | 修改.exe/.dll文件中的机器码 | 永久 |
| Loader | 独立程序启动目标程序前注入补丁 | 每次由Loader启动 |
| 劫持补丁 | 在DLL劫持的DllMain中修改主程序内存 | 自动 |
#### 3.4.3 常见补丁位置
关键跳转:
JNE/JE → NOP 或 JMP(反转判断逻辑)
关键调用:
CALL dog_check → NOP掉(跳过狗检测函数)
标志位修改:
MOV EAX, [验证结果] → MOV EAX, 1(强制返回成功)
条件判断:
TEST EAX, EAX
JZ fail_addr → NOP掉跳转(始终继续执行)
