前天一个朋友问我有没rockey4加密狗破解方面的资料,我是从来不做这方面的纪录的,嘿嘿,人比较懒嘛!于是帮他在网上找了搜索了不少相关方面的资料,但是都不是很满意,那就只有自己出手了。正好手上有一个R4的加密狗了,就用它来做分析了……

  下面就简单的说说R4狗的分析吧:


一、调用狗的指令

1. 查找狗(RY_FIND)
目的: 查找指定密码的加密狗是否存在
输入参数:
function = RY_FIND  功能码 1
*p1 = 密码1    //必须
*p2 = 密码2    //必须
*p3 = 密码3 (可选)
*p4 = 密码4 (可选)
返回:
retcode = 0 表示成功,其它为错误码。无狗错误码为3
当成功时,*lp1 中为加密狗的硬件ID

//说明:1)密码1及密码2的是必须的,也是查找狗的基础,也称为一级口令。
        密码3和密码4是高级密码,只有有了这一组密码才可以写狗的用
        户ID区,模块区,自定义算法区,这三块的内容中除用户ID区
        外,其它二个正是狗的复制难点之处。
        2)返回的lp1中数据类型为无符号整数,这一个也正是识别不同的R4
        狗的重要之处。同时也是一些软件加密要用的内容。因为厂商号称
        硬件ID全世界唯一。

2.查找下一狗(RY_FIND_NEXT)
目的: 查找是否还有指定密码的加密狗
输入参数:
function = RY_FIND_NEXT
*p1 = 密码1
*p2 = 密码2
*p3 = 密码3 (可选)
*p4 = 密码4 (可选)
*lp1 = RY_FIND或RY_FIND_NEXT所找到的上一把加密狗的硬件ID
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,*lp1 中为加密狗的硬件ID

3. 打开狗(RY_OPEN)
目的: 打开指定密码及硬件ID 的加密狗
输入参数:
function = RY_OPEN
*p1 = 密码1   //和1功能中应该相同,且不可改变Lp1中的硬件ID
*p2 = 密码2   //和1功能中应该相同
*p3 = 密码3 (可选)
*p4 = 密码4 (可选)
*lp1 = 硬件ID
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,*handle 为加密狗的句柄
lp2 为加密狗的类型
TYPE_ROCKEY4      1 // ROCKEY4 标准并口类型
TYPE_ROCKEY4P     2 // ROCKEY4+增强并口类型
TYPE_ROCKEYUSB    3 // ROCKEY4 标准USB 类型
TYPE_ROCKEYUSBP   4 // ROCKEY4+增强USB 类型
TYPE_ROCKEYNET    5 // ROCKEY4 网络并口类型
TYPE_ROCKEYUSBNET 6 // ROCKEY4 网络USB 类型

//说明: 在lp2中的类型比较重要,一些狗用的比较好的。会判断当
         前的狗的类型,如果类型不对,就是其它的参数相同,也会
         不认当前的狗。
         在这里请注意狗的类型不同,相应的数据量也不同,标版内
         存区为24个字节,自定义算法区 32条指令,增强版及网络版
         内存区为120个字节,自定义算法区为80条指令。

4. 关闭狗(RY_CLOSE)
目的: 关闭相应handle 的加密狗
输入参数:
function = RY_CLOSE
*handle = 狗的句柄
返回:
retcode = 0 表示成功,其它为错误码。


5. 读狗(RY_READ)
目的: 读出加密狗用户读写区的内容
输入参数:
function = RY_READ
*handle = 狗的句柄
*p1 = 位置
*p2 = 长度(以字节为单位)
buf = 缓冲区的指针
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,buf 中为读入的内容。

//buf是直接的内存区,在读数据时要根据功能3中返回的类型判断长度,不
  要超长,标版24 增强及网络版是120。

6. 写狗(RY_WRITE)
目的: 向用户读写区内写入内容
输入参数:
function = RY_WRITE
*handle = 狗的句柄
*p1 = 位置
*p2 = 长度(以字节为单位)
buffer = 缓冲区的指针
返回:
retcode = 0 表示成功,其它为错误码。

//说明同上

7. 随机数(RY_RANDOM)
目的: 从加密狗得到一个随机数
输入参数:
function = RY_RANDOM
*handle = 狗的句柄
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,*p1 中为加密狗返回的随机数

//这个在实际加密的过程中没有多大的意义,在自定义的算法中有意
  义,但不是我们调用得到的。这个功能对用户开放无多大的意义。

8. 种子码(RY_SEED)
目的: 得到种子码的返回码
输入参数:
function = RY_SEED
*handle = 狗的句柄
*lp2 = 种子码    //重要之处,在分析时一定要注意这个入口值是多少
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,
*p1 = 返回码1
*p2 = 返回码2
*p3 = 返回码3
*p4 = 返回码4

//说明:4个返回值用处很大,也是加密者经常使用的功能,这个种子码和狗的密
        码相关,同号狗(指密码相同)生成的种子返回值都是相同的。
        这个功能在狗壳的分析中也是难度最大的,如果没有狗,那是没有办法
        知道返回值的,但可以采用变通的方式来完成,从而取得种子码的返回
        值,也就是常说的无狗脱狗壳的方法。

9. 写用户ID [*] (RY_WRITE_USERID)
目的: 写入用户定义的ID
输入参数:
function = RY_WRITE_USERID
*handle = 狗的句柄
*lp1 = 用户ID     //是一个无符号长整型
返回:
retcode = 0 表示成功,其它为错误码。

//这个功能要求在1功能和3功能中打开狗时指定高级密码,否则是不允许写入的,
  如果无高级密码状态下写入次数过多,将可能会损坏狗或将狗狗死,请慎重操作。

10. 读用户ID (RY_READ_USERID)
目的: 读出用户定义的ID
输入参数:
function = RY_READ_USERID
*handle = 狗的句柄
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,*lp1 为用户ID

//读可以不用高级密码。

11. 设置模块[*] (RY_SET_MOUDLE)
目的: 设置模块字及递减属性
输入参数:
function = RY_SET_MOUDLE
*handle = 狗的句柄
*p1 = 模块号
*p2 = 用户模块字
*p3 = 是否允许递减(1 = 允许,0 = 不允许)
返回:
retcode = 0 表示成功,其它为错误码。

//模块的数据比较特殊,只有有高级密码的情况下才可以写,但就是具有了全部的
密码,也不能读出模块的内容,但可以用变通的方法来读出它的数值。

12. 检查模块属性(RY_CHECK_MOUDLE)
目的: 检查模块属性字
输入参数:
function = RY_CHECK_MOUDLE
*handle = 狗的句柄
*p1 = 模块号
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,
*p2 = 1 表示此模块有效
*p3 = 1 表示此模块可以递减

//这一项功能常用在一些试用版的软件上,使用了递减功能,使模块内的数据逐步
  减1,当为0时,当前模块将无效,测试功能也就结束了。


13. 写算法[*] (RY_WRITE_ARITHMETIC)
目的: 向加密狗中写入自定义算法
输入参数:
function = RY_WRITE_ARITHMETIC
*handle = 狗的句柄
*p1 = 算法区位置
buffer = 算法指令串
返回:
retcode = 0 表示成功,其它为错误码。

// 自定义是难度最高的部分,也是这个R4的狗特点之一,可以将一些关键计算写到
狗中,指令格式见后面。但因为狗的自身原因,不可能写入太多的指令,否则软件
的速度会很受影响,算法常是1-10条之间,当然并不一定,如果指令少,还可以用
猜的办法来获得算法,但如果过长,那时间将是天文数字。


14. 计算1 (RY_CALCULATE1)   功能码:E
目的: 让加密狗进行指定方式的运算,计算结果由用户算法决定。
输入参数:
function = RY_CALCULATE1
*handle = 狗的句柄
*lp1 = 计算起始点     //从第几行代码开始执行
*lp2 = 模块号         //模块参与运算
*p1 = 输入值1
*p2 = 输入值2
*p3 = 输入值3
*p4 = 输入值4
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,
*p1 = 返回值1
*p2 = 返回值2
*p3 = 返回值3
*p4 = 返回值4

//如果指定的起始点不是狗内的自定义算法起始点,那么返回的值都是随机数,
没有多少意义,但正是利用这一点,我们可以判断出狗内有几组算法区。

15. 计算2 (RY_CALCULATE2)  功能码:F
目的: 让加密狗进行指定方式的运算,计算结果由用户算法决定。
输入参数:
function = RY_CALCULATE2
*handle = 狗的句柄
*lp1 = 计算起始点
*lp2 = 种子码    //种子码参与运算
*p1 = 输入值1
*p2 = 输入值2
*p3 = 输入值3
*p4 = 输入值4
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,
*p1 = 返回值1
*p2 = 返回值2
*p3 = 返回值3
*p4 = 返回值4

16. 计算3 (RY_CALCULATE3)   功能码:10H
目的: 让加密狗进行指定方式的运算,计算结果由用户算法决定。
输入参数:
function = RY_CALCULATE3
*handle = 狗的句柄
*lp1 = 计算起始点
*lp2 =模块字起始地址    //完全由模块来参与运算,
*p1 = 输入值1
*p2 = 输入值2
*p3 = 输入值3
*p4 = 输入值4
返回:
retcode = 0 表示成功,其它为错误码。
当成功时,
*p1 = 返回值1
*p2 = 返回值2
*p3 = 返回值3
*p4 = 返回值4

 

//对于算法来说,直接参数应该是9个,1是位置的起始点 2是 p1,p2,p3,p4 对
  应ABCD 4个入口参数 3就是狗内的E F G H,对应由LP2指定功能区数据,
  E功能中 E硬件ID高位  F硬件ID低位  G模块字    H随机
  F功能中 E是种子码生成的数值1  F数值2   G 数值3   H 数值4
  10功能中就是模块的值了,由LP2指定的开始模块的连续4个。

17. 递减(RY_DECREASE)
目的: 对指定模块字进行递减操作
输入参数:
function = RY_DECREASE
*handle = 狗的句柄
*p1 = 模块号
返回:
retcode = 0 表示成功,其它为错误码。

//用于测试值中递减模块中的数据

常用错误码
ERR_SUCCESS                0 //没有错误         **最好的一个
ERR_NO_DRIVER              2 //没安装驱动程序
ERR_NO_ROCKEY              3 //没有ROCKEY       **易用的一个
ERR_INVALID_PASSWORD       4 //有ROCKEY狗,但基本密码错  
ERR_OPEN_OVERFLOW         16 //打开的狗太多(>16)

                    Rockey 4标准版   Rockey4+增强版   NetRockey网络狗
用户可读写内存区大小    24             120                 120
模块字区大小            32              32                  32
算法区大小              64              80                  80
是否支持网络调用        否              否                  是


参数格式:
WORD Rockey
(
 WORD  function,
 WORD*  handle,
 DWORD* lp1,
 DWORD* lp2,
 WORD*  p1,
 WORD*  p2,
 WORD*  p3,
 WORD*  p4,
 BYTE*  buffer
);
 C 语言调用样例,下面的说明都会依照这个样例来说明:
retcode = Rockey(function,handle,lp1,lp2,p1,p2,p3,p4,buffer);
ROCKEY函数的参数定义如下:
 参数名称  参数类型      参数含义
Function  16位数        API 函数功能
Handle    16位数的地址  狗操作句柄的指针
lp1       32位数的地址  长参数1
lp2       32位数的地址  长参数2
p1        16位数的地址  参数 1
p2        16位数的地址  参数 2
p3        16位数的地址  参数 3
p4        16位数的地址  参数 4
Buffer     8位数的地址  字符缓冲区指针
<注意>:
所有的接口参数必须在程序中定义,不能传递一个 NULL 类型的空指针过去,否则程序会出现错误。
1.1 function 是 16 位数字,它代表具体的功能,其定义如下:
 RY_FIND                 1 //找狗
 RY_FIND_NEXT            2 //找下一把狗
 RY_OPEN                 3 //打开狗
 RY_CLOSE                4 //关闭狗
 RY_READ                 5 //读狗
 RY_WRITE                6 //写狗
 RY_RANDOM               7 //产生随机数
 RY_SEED                 8 //产生种子码
 RY_WRITE_USERID         9 //写用户 ID
 RY_READ_USERID         10 //读用户 ID
 RY_SET_MOUDLE          11 //设置模块字
 RY_CHECK_MOUDLE        12 //检查模块状态
 RY_WRITE_ARITHMETIC    13 //写算法
 RY_CALCULATE1          14 //计算 1
 RY_CALCULATE2          15 //计算 2
 RY_CALCULATE3          16 //计算 3
 RY_DECREASE            17 //递减模块单元


算法指令格式

我们所有的算法指令必须是下列形式:
reg1 = reg2 op reg3/value
其中 reg1,reg2,reg3 都是某个寄存器,value 是个立即数,op 是运算符。
例如: A = A + B
我们所支持的所有运算符有:
  +  加法   -  减法   <  循环左移  *  乘法
  ^  异或   &  与     |  或        ~  取反(标准版)
  ?  比较(增强版和网络版)
value 是数值,只能是 0 - 63 之间的十进制数值。

<注意>:

~ 是我们标准版加密狗才有的指令,在增强版和网络版中,原来的这个指令代码被用于
比较,使用新的符号 "?"。
1) ~ 指令是单参数操作符,所以 A = A ~ B 就是 A = ~A 后面的 B 参数被忽略。
2) ? 指令用于比较两个操作数,例如 C = A ? B,比较结果如下:

C    A?B    B?A
A<B   0    FFFF
A=B  FFFF  FFFF
A>B  FFFF  0
C 里面会根据比较结果放入 0 或者 FFFF

算法指令的一些限制

  在开发者编写加密狗算法指令的时候,会有一些特定的限制,结合一些例子,我们会介
绍这些限制是什么:
A = A + B  合法指令
D = D ^ D  合法指令
A = B    非法指令,必须按算法格式,可写成 A = B | B
A = 0    非法指令,必须按算法格式,可写成 A = A ^ A
C = 3 * B  非法指令,常数必须放在后面,可写成 C = B * 3
D = 3 + 4  非法指令,一条指令内只能使用一个常数
A = A / B  非法指令,我们不支持除法运算符
H = E*200  非法指令,常数必须小于 64
A = A*63   看情况,我们不允许在算法中的第一条指令和最后一条指令中使用常数。

如果这条指令出现在中间就是合法指令,如果是算法的第一条或最后一条指令就是非法指令。

至此,简单的分析就写完了,这其中也借鉴了网上许多朋友的分析资料,在这里,要感谢各位了!
对rockey4的分析不可能一篇文章就全部写完,这里只是做了点简单分析,以后有时间或许还会继续写……

最后,感谢各位读完此文章!