首页
社区
课程
招聘
用forgot的pack v0.1.6 加壳的简单脱壳
发表于: 2005-2-5 21:27 10614

用forgot的pack v0.1.6 加壳的简单脱壳

2005-2-5 21:27
10614

用forgot的pack v0.1.6 加壳的简单脱壳

     日期:2005年2月5日   脱壳人:csjwaman[DFCG]
―――――――――――――――――――――――――――――――――――――――――――

【软件名称】:forgot的pack Me v0.1.6加壳的win98记事本
【下载地址】:见附件。
【脱壳声明】:初学Crack,只是感兴趣,没有其它目的。失误之处敬请诸位大侠赐教!
【操作系统】:winxp
【脱壳工具】:OD等传统工具

―――――――――――――――――――――――――――――――――――――――――――
 
【脱壳过程】:

forgot的pack v0.1.6加壳和015版加壳和区别就是多了入口代码的修改。但修改字节并不多,如果是delphi或vc/masm语言的只改了前3个字节,VB的也只改了前一句5个字节。下面我用forgot的pack v0.1.6加壳的win98记事本(见附件)为例进行脱壳。

如果看过我脱015版的文章,那么可以省略相关的章节。

第一步,找d-process处:

用OD载入程序,忽略所有异常,bp WriteProcessMemory,F9运行程序,断下:

77E41A94 >  55              PUSH EBP////断下。
77E41A95    8BEC            MOV EBP,ESP
77E41A97    51              PUSH ECX
77E41A98    51              PUSH ECX
77E41A99    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
77E41A9C    53              PUSH EBX

观察堆栈数据:

00A18580   00A1BD98  /CALL 到 WriteProcessMemory 来自 00A1BD93
00A18584   00000034  |hProcess = 00000034
00A18588   00A1D492  |Address = A1D492////重要!记下备用。
00A1858C   00A1CE01  |Buffer = 00A1CE01
00A18590   0000029A  |BytesToWrite = 29A (666.)
00A18594   00000000  \pBytesWritten = NULL

好,F9直接运行程序,等出现界面时,运行LordPE选中映像文件小的那个进程,然后部分DUMP,把从A1D492处开始大小为29A的数据DUMP下来,命名为A1D492.bin。

第二步,变双进程为单进程:

重新载入程序,bp CreateProcessA,运行程序,断下:

77E41BBC >  55              PUSH EBP////断在这儿。
77E41BBD    8BEC            MOV EBP,ESP
77E41BBF    6A 00           PUSH 0
77E41BC1    FF75 2C         PUSH DWORD PTR SS:[EBP+2C]
77E41BC4    FF75 28         PUSH DWORD PTR SS:[EBP+28]
77E41BC7    FF75 24         PUSH DWORD PTR SS:[EBP+24]

观察堆栈数据:

00A1856C   00A1AE1E  /CALL 到 CreateProcessA 来自 00A1AE19
00A18570   00A19B8B  |ModuleFileName = "C:\Documents and Settings\csjwaman\桌面\forgot-unpackme\VC++1.EXE"
00A18574   00A1AE0F  |CommandLine = "X"////调试标志。
00A18578   00000000  |pProcessSecurity = NULL
00A1857C   00000000  |pThreadSecurity = NULL
00A18580   00000000  |InheritHandles = FALSE
00A18584   00000003  |CreationFlags = DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS
00A18588   00000000  |pEnvironment = NULL
00A1858C   00000000  |CurrentDir = NULL
00A18590   00A188F8  |pStartupInfo = 00A188F8
00A18594   00A188E8  \pProcessInfo = 00A188E8

重新载入程序,bp GetCommandLineA,运行程序,断下:

77E5E358 >  A1 1476EB77     MOV EAX,DWORD PTR DS:[77EB7614]////断在这里。取消断点。
77E5E35D    C3              RETN////返回。

返回到:

00A18F78    68 9F6F56B6     PUSH B6566F9F
00A18F7D    50              PUSH EAX
00A18F7E    E8 5D000000     CALL 00A18FE0
00A18F83    EB FF           JMP SHORT 00A18F84
00A18F85    71 78           JNO SHORT 00A18FFF
00A18F87    C2 5000         RETN 50
00A18F8A  ^ EB D3           JMP SHORT 00A18F5F
00A18F8C    5B              POP EBX

搜索二进制字符“803e58”,找到:

00A19217  ^\EB 80           JMP SHORT 00A19199/////找到这里。这里有个花指令。
00A19219    3E:58           POP EAX                                  ; 多余的前缀
00A1921B    0F84 CA3F0000   JE 00A1D1EB

NOP掉花指令后:

00A19217    90              NOP
00A19218    803E 58         CMP BYTE PTR DS:[ESI],58////58为调试标志。用于判断是否为子进程。
00A1921B    0F84 CA3F0000   JE 00A1D1EB////此处改为JMP!
00A19221    68 9F6F56B6     PUSH B6566F9F
00A19226    50              PUSH EAX
00A19227    E8 5D000000     CALL 00A19289

第三步,修补程序:

修改上面这个跳转后,用十六进制工具把A1D492.bin的数据复盖掉OD的DUMP区从0A1D492处开始的29A个字节数据。

第四步,查找入口:

做完上述工作后,在OD的CPU窗口,Ctrl+G,输入0A1D492,点确定后来到:

00A1D48D  ^\EB F0           JMP SHORT 00A1D47F////NOP掉。
00A1D48F    0FC7C8          CMPXCHG8B EAX ////NOP掉。
00A1D492    FFC3            INC EBX/////来到这里。
00A1D494    FFC8            DEC EAX
00A1D496    F7D8            NEG EAX
00A1D498    F7C1 2DF16825   TEST ECX,2568F12D

搜索二进制字符“8D7802”,找到:

00A1FC9A  ^\EB 8D           JMP SHORT 00A1FC29////找到这里。有花指令。
00A1FC9C    78 02           JS SHORT 00A1FCA0
00A1FC9E    55              PUSH EBP
00A1FC9F    8BEC            MOV EBP,ESP
00A1FCA1    50              PUSH EAX

清除花指令后:

00A1FC9A    90              NOP
00A1FC9B    8D78 02         LEA EDI,DWORD PTR DS:[EAX+2]////注意这里!F2下断。F9运行程序后,断下时EAX=4010CC。呵呵,光明就在眼前!

00A1FC9E    55              PUSH EBP////看看这句好象很熟悉噢:)
00A1FC9F    8BEC            MOV EBP,ESP////还有这句也是。
00A1FCA1    50              PUSH EAX/////注意这里!
00A1FCA2    E9 67010000     JMP 00A1FE0E////F8到这里。
00A1FCA7    83FB 02         CMP EBX,2
00A1FCAA    0F85 5C010000   JNZ 00A1FE0C

跳到:

00A1FE0C    61              POPAD
00A1FE0D    50              PUSH EAX
00A1FE0E    C3              RETN////直接跳到这里,返回!
00A1FE0F    0100            ADD DWORD PTR DS:[EAX],EAX
00A1FE11    0000            ADD BYTE PTR DS:[EAX],AL
00A1FE13    0000            ADD BYTE PTR DS:[EAX],AL
00A1FE15    0000            ADD BYTE PTR DS:[EAX],AL

返回后:

004010CC    FFD7            CALL NEAR EDI////返回到这里,EDI=004010CE
004010CE    58              POP EAX////这句和00A1FCA1处的PUSH EAX相对应!
004010CF    83EC 44         SUB ESP,44
004010D2    56              PUSH ESI
004010D3    FF15 E4634000   CALL NEAR DWORD PTR DS:[4063E4]          ; kernel32.GetCommandLineA
004010D9    8BF0            MOV ESI,EAX
004010DB    8A00            MOV AL,BYTE PTR DS:[EAX]
004010DD    3C 22           CMP AL,22
004010DF    75 1B           JNZ SHORT VC++1.004010FC
004010E1    56              PUSH ESI
004010E2    FF15 F4644000   CALL NEAR DWORD PTR DS:[4064F4]          ; USER32.CharNextA
004010E8    8BF0            MOV ESI,EAX

返回到004010CC时,我们可以确定入口到了,但入口代码被修改了。和原来的不同了。那么原来的代码呢?
到00A1FC9E处看看吧:)好,把代码补回去。补回代码后:

004010CC    55              PUSH EBP////看起来顺眼了吧:)DUMP吧。
004010CD    8BEC            MOV EBP,ESP
004010CF    83EC 44         SUB ESP,44
004010D2    56              PUSH ESI
004010D3    FF15 E4634000   CALL NEAR DWORD PTR DS:[4063E4]          ; kernel32.GetCommandLineA
004010D9    8BF0            MOV ESI,EAX
004010DB    8A00            MOV AL,BYTE PTR DS:[EAX]

DUMP要注意纠正映像大小,然后删除SHIT区段,再用ImportREC v142+修复IAT,优化一下,388K--->56K     OK完工!

这里再补充说明一下VB程序代码的补回:

到达入口后:

0040116C    FFD7            CALL NEAR EDI////显然代码被修改了。
0040116E    58              POP EAX
0040116F    90              NOP
00401170    90              NOP
00401171    E8 F0FFFFFF     CALL VB2.00401166         ; JMP to MSVBVM60.ThunRTMain
00401176    0000            ADD BYTE PTR DS:[EAX],AL
00401178    0000            ADD BYTE PTR DS:[EAX],AL
0040117A    0000            ADD BYTE PTR DS:[EAX],AL
0040117C    3000            XOR BYTE PTR DS:[EAX],AL
0040117E    0000            ADD BYTE PTR DS:[EAX],AL
00401180    3800            CMP BYTE PTR DS:[EAX],AL

看堆栈:

00A08964   00407C14  VB2.00407C14////这就是被修改掉的代码。
00A08968   00426828  返回到 VB2.00426828

补回后:

0040116C    68 147C4000     PUSH VB2.00407C14/////代码长度正好!
00401171    E8 F0FFFFFF     CALL VB2.00401166       ; JMP to MSVBVM60.ThunRTMain
00401176    0000            ADD BYTE PTR DS:[EAX],AL
00401178    0000            ADD BYTE PTR DS:[EAX],AL
0040117A    0000            ADD BYTE PTR DS:[EAX],AL
0040117C    3000            XOR BYTE PTR DS:[EAX],AL

附件:VC++1.rar


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
2
赶来第一个支持
2005-2-5 21:39
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
绝对支持
总结一下双进程的一般解决方法吧!!!
2005-2-5 21:44
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
4
最初由 liuyilin 发布
绝对支持
总结一下双进程的一般解决方法吧!!!


我还没有这个能力啊!
2005-2-5 21:46
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
5
帮我捉虫啊5555555
2005-2-5 22:40
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
6
最初由 forgot 发布
帮我捉虫啊5555555

XP_sp1,一切正常,只是再对某个vc的程序加壳时,一次没有成功,不过我多试了几次,最后OK了.但Notrn杀毒软件影响非常严重,如果开着Notrn,会发现在加壳像蜗牛一样.
2005-2-5 22:54
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
7
Notrn太贱,建议删除。
2005-2-5 23:02
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
8
最初由 forgot 发布
Notrn太贱,建议删除。

那用什么啊,没有杀毒软件可不行啊,他是我用过的感觉最好了的,而且还有防火墙,其它国产的没什么好用的,forgot用的是什么(不会是用OD吧)
2005-2-5 23:33
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
9
自己用 PEiD, OllyDbg.
还有一套别人送的瑞星,防止我爸不小心给我坏事
2005-2-5 23:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
请教什么是d-process
2005-2-6 10:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
不错~~好好拜读
2005-2-6 12:03
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
12
double processes
2005-2-6 12:14
0
雪    币: 211
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
最初由 clide2000 发布

那用什么啊,没有杀毒软件可不行啊,他是我用过的感觉最好了的,而且还有防火墙,其它国产的没什么好用的,forgot用的是什么(不会是用OD吧)

错了
用江民
2005-2-6 15:06
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
14
最初由 clide2000 发布

XP_sp1,一切正常,只是再对某个vc的程序加壳时,一次没有成功,不过我多试了几次,最后OK了.但Notrn杀毒软件影响非常严重,如果开着Notrn,会发现在加壳像蜗牛一样.


原来是Notrn杀毒软件惹的祸!
2005-2-6 18:32
0
游客
登录 | 注册 方可回帖
返回
//