Symbian塞班軟件破解入門教程

1、.：.；根底知識(shí)Symbain OSSymbian OS(中文譯音“塞班系統(tǒng))由諾基亞、索尼愛立信、摩托羅拉、西門子等幾家大型挪動(dòng)通訊設(shè)備商共同出資組建的一個(gè)合資公司，專門研發(fā)智能手機(jī)操作系統(tǒng)，如今曾經(jīng)被諾基亞收買。Symbian OS硬件CPU采用的是ARM系列，運(yùn)用的是ARM 32位指令而非THUMB。EPCOSymbian操作系統(tǒng)的前身是EPOC，EPOC這個(gè)詞來源于世界將會(huì)進(jìn)入“a new epoch of personal convenience。EPOC是一個(gè)開放的操作系統(tǒng)，一開場(chǎng)的時(shí)候EPOC就加上了無(wú)線通訊和一個(gè)外加運(yùn)用程序的體系，因此在無(wú)線通訊方面與其他操作系統(tǒng)相比具備先天的

2、優(yōu)勢(shì)。Symbian S60Nokia S60 系列手機(jī)是市面上智能機(jī)里流行最廣的手機(jī)。Symbian Series 60 是Symbian S60 的全稱S60可以細(xì)化分為第一版、第二版、第三版、第四版、第五版第一版和第二版差別不大，籠統(tǒng)概括為S60 2nd 、S60二版。包含OS6、OS7、OS8 三個(gè)系列第三版第四版第五版中心是 OS9系列的，籠統(tǒng)概括為S60 3rd 、S60三版2nd And 3rdS60 3rd 和 S60 2nd從操作系統(tǒng)上看有很大的區(qū)別：1、三版引入了權(quán)限簽名這一平安機(jī)制，可經(jīng)過對(duì)程序安裝包進(jìn)展簽名授權(quán)。2、S60 2nd是EPOC6，S60 3rd 是EPOC

3、9，這也意味著其ELF (Executable and Linking Format)是可執(zhí)行銜接格式也發(fā)生了改動(dòng)在 S60 2nd 版本中，可執(zhí)行體是 EPOC6 格式的 .APP 文件和 .DLL 文件在 S60 3rd 版本中，可執(zhí)行體是 EPOC9 格式的 .EXE 文件和 .DLL 文件3、三版和二版的程序安裝包，格式是不一樣的，雖然都是.sis 結(jié)尾的文件 EPOC9 格式的可執(zhí)行文件是可以緊縮的，三版簽名后的安裝包普通是.sisxARM CPUARM 公司是專門從事基于 RISCreduced instruction set computer，精簡(jiǎn)指令集計(jì)算機(jī)) 微處置芯片制造的

4、企業(yè)。設(shè)計(jì)出的產(chǎn)品性能高、本錢低和能耗省的特點(diǎn)，適用于多種領(lǐng)域，例如嵌入式系統(tǒng)、DSP、和手機(jī)。ARM處置器本身是32位設(shè)計(jì)，但也配備Thumb 16位指令集預(yù)備任務(wù)IDA Pro 5.2鬼斧神工逆向分析利器下載地址： HYPERLINK bbs.pediy/showthread.php?t=55801 t _blank bbs.pediy/showthread.php?t=55801IDS files for EPOC6 and EPOC9Symbian EPOC格式標(biāo)示符文件，配合IDA5.2運(yùn)用，解壓置IDA相關(guān)目錄即可下載地址： HYPERLINK .hr/down

5、loads/Symbian_EPOC6_EPOC9_Unleashed_IDS_Files_for_IDA_Pro_by_argv.rar t _blank .hr/downloads/Symbian_EPOC6_EPOC9_Unleashed_IDS_Files_for_IDA_Pro_by_argv.rarWinHex強(qiáng)大的磁盤編輯工具，也是非常棒的十六進(jìn)制編輯器。SisContentsS60 三版程序(Sis,Sisx) 打包、解包、簽名工具。 HYPERLINK t _blank CeleASM用于查看ARM OPCODE宇宙出色青年Yonsm(郭春楊) 之作 主頁(yè)

6、： HYPERLINK t _blank Yonsm.NETSymbian_OS_9.x-ELF_Toolz用于解壓和緊縮3rd EXE和DLL工具當(dāng)然我不是宇宙出色青年，博客還是有的Blog： HYPERLINK caterqiu/ CaterQiuRESEdit.exeS60 三版程序RSC資源修正工具，主要用作漢化這四款小工具我的博客有文件打包，概略參閱 HYPERLINK caterqiu/Article/Symbian_S60_3rd_Reverse_CrAcKiNg_Tutorial_By_CaterQiu.html CaterQiu/Article/Symbian_S60_3rd

7、_Reverse_CrAcKiNg_Tutorial_By_CaterQiu.html實(shí)戰(zhàn)操作Example：DVDPlayer 1.26.SISx HYPERLINK viking.tm/ t _blank viking.tmSetp 1：Unpack Sis/Sisx FileUse_SisContents_Unpack_S60_3rd_Target_Sis_FileSetp 2：UnComPress ELF FileUse_Symbian_OS_9.x_ELF_Toolz_UnComPress_Target_ELF_FileCompare File Size Between Origin

8、al(BAK_dvdplayer.exe) And NoCompress(dvdplayer.exe),You Have Found dvdplayer.exe Was Unpacked.Setp 3：Analysis Program Flow把脫殼后的程序拖入IDA中勾上 堆棧指針和機(jī)器碼字節(jié)數(shù)為8.Shift+F12設(shè)置下字符串類型，Unicode 要的字符串窗口中 357062021960014類似IMEI的串號(hào)，雙擊過來繼續(xù)向上回溯字符串被調(diào)用的地方回溯到到sub_8A2C留意：MOV R12,SPSTMFD SP!,R4,R5,R7,R11,R12,LR,PC這兩句類似Win32程序

9、匯編代碼中PUSH EBPMOV EBP，ESPADD ESP，XXX意味著什么呢？意味著這個(gè)是子功能函數(shù)的函數(shù)入口既然這個(gè)曾經(jīng)是子函數(shù)的入口了我大致猜測(cè)剛剛顯示的那個(gè)串號(hào)是作者本人用來做的手機(jī)串號(hào)我估計(jì)寫入這個(gè)串號(hào)是為了檢測(cè)當(dāng)串號(hào)為 357062021960014就不需求啟動(dòng)軟件注冊(cè)功能暫時(shí)這么猜測(cè)吧按下X按鍵看看有哪些地方調(diào)用還好只需一處前往到這里分析代碼詳細(xì)過程我就不在這里細(xì)說了Loc _8280 這里與解密有關(guān)的部分，我們進(jìn)入分析進(jìn)來后，再進(jìn)入 sub_9114 分析看看很顯然 sub_9114 也是一個(gè)子函數(shù)這里這號(hào)是圖形化的，看看整個(gè)分支流程CompareF 比較函數(shù)再猜測(cè)下咯剛剛

10、是作者手機(jī)串號(hào)的代碼這里的比較很大何能是判別是不是作者的手機(jī)R0存放器和8x86 EAX存放器一樣常用語(yǔ)函數(shù)前往值沒查SDK了，和Windows比較函數(shù)一樣普通前往0 闡明兩參數(shù)比較相等加個(gè)注解解釋下吧LDRR0, R6,#0 x98 ; 相當(dāng)于MOV R0,R6+0 x98MOV R1, R10 ; 相當(dāng)于MOV R1,R10BL TDesC16:CompareF(TDesC16 const&) ;相當(dāng)于 Comparf(R0,R1)CMP R0, #0 ; R0為函數(shù)的前往值，為0，闡明參數(shù) R0和參數(shù) R1 相等MOVEQ R8, #1 ; IF R0=0 Then R8=1STREQ

11、R8, R6,#0 x90 ; IF R0=0 Then Storage R8 To R6+0 x90 MemoryBEQ loc_922C ; IF R0=0 Then Call Loc_922C Function很明顯要改動(dòng)程序流程需求patch下代碼修正CMP R0，#0變成CMP R0，R0可以不斷作用以下的流程自然而然我們的補(bǔ)丁代碼也就是這個(gè)了Setp 4：Make ARM OPCODEUse_CeleASM_Make_OPCODE生成的OPCODE是 5 00000004 e3500000 CMP R0,#0 6 00000008 e1500000 CMP R0,R0看看 CMP

12、R0，#0 的OPCODE和我們途中的 OPCODE能否一樣不難看出5 00000004 e3500000 CMP R0,#0是對(duì)應(yīng)Little-Endianl數(shù)據(jù)存儲(chǔ)類型的ARM CPU也就是低位字節(jié)排在內(nèi)存較低地址Patch_OPCODE: 00 00 50 E1 (CMP R0，R0)Setp 5：Patch Data先從IDA中查看需求修正代碼對(duì)應(yīng)的文件偏移0 x000012AC原來的修正后就這樣了最后存盤即可。Setp 6：Compress ELF FileUse_Symbian_OS_9.x_ELF_Toolz_ComPress_Target_ELF_FileSetp 7：Pack

13、 S60 3rd File1、把之前破解好，加緊縮的dvdplayer.exe 復(fù)制一份到別處2、刪除之前解包出來的文件夾D:Symbian_Reverse_ToolzToolzSisContents121DVDPlayer 1.263、再次用SisContents翻開原版的.sis文件，點(diǎn)擊 Extract Files 圖標(biāo)4、拷貝之前破解好，加緊縮的dvdplayer.exe，復(fù)制到D:Symbian_Reverse_ToolzToolzSisContents121DVDPlayer 1.26sysbin交換掉解包出來的5、刪除原來的簽名：回到SisContents中， Tools-Del

14、ete Signatures6、File-Save As-另存文件即可。Setp 8：Run Patched .Sis File With Mobile在手機(jī)上測(cè)試我們修正后的程序，破解勝利。闡明那個(gè)串號(hào)是一個(gè)作者留下的小路吧，當(dāng)然假設(shè)交換作者原來測(cè)試機(jī)的串號(hào)357062021960014 本錢人的串號(hào)，那么程序也是一路綠燈通行的。學(xué)習(xí)小結(jié)ARM指令集需求掌握遇到B當(dāng)CALL指令用即可BL是調(diào)用系統(tǒng)函數(shù)Bxx是條件調(diào)用類似條件跳轉(zhuǎn)Jxx指令R0-R3可以用作參數(shù)傳送R0和Win32匯編中EAX作用一樣常用語(yǔ)存放函數(shù)前往值解密思緒和Windows上的解密思緒是一樣的可以經(jīng)過字符串來定位關(guān)鍵代碼，也可以經(jīng)過相關(guān)API找關(guān)鍵代碼Symbian解密本卷須知解包后記得先解壓EXE或者DLL文件修正后的EXE、DLL程序不可以直接交換到手機(jī)中運(yùn)用，需求做成安裝包打包前一定要給EXE、DLL緊縮下打包時(shí)要留意簽名，最好先刪除一切的簽名 HYPERLINK caterqiu/Article/Symbian_S60_3rd_Reverse_CrAcKiNg_Tutorial_By_Ca