[原创]NoobyProtect SE1.7.0.0 脱壳之找OEP-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]NoobyProtect SE1.7.0.0 脱壳之找OEP

发表于: 2010-3-17 18:55 20407

[原创]NoobyProtect SE1.7.0.0 脱壳之找OEP

TCAV

2010-3-17 18:55

20407

NoobyProtect SE1.7.0.0 脱壳之找OEP

Author: three-D

2010.3.16

昨天下午一朋友说碰到一个疑似盗号木马的东东加了NoobyProtect的壳搞不定，就让偶帮他看下。偶就抱着学习大牛作品和试一试的态度看了一下这个东东。嘿嘿，还不小心给俺脱掉了。下面就把偶找OEP的过程给大家分享一下。第一次写技术文章，有不对的地方欢迎大家拍砖。

（注：壳内部有NoobyProtect SE1.7.0.0 Demo的字符串，具体是否真是NoobyProtect偶就不得而知了^_^）

具体内容看附件吧。懒得调整格式了

[课程]Android-CTF解题方法汇总！

上传的附件：

NoobyProtect SE1.7.0.0 脱壳之找OEP.pdf （205.66kb，605次下载）

收藏・8

免费・7

支持

最新回复 (30) 1 2 ▶
wangbin 雪币： 211 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wangbin 2 楼这个都被你破掉，NOOBY要升级了 2010-3-17 23:56 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 3 楼 Demo . 2010-3-18 00:39 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 4 楼解码之后按照语言特征找，海风大牛有句话说的好，“以前找到OEP等于脱壳，现在找到OEP才开始脱壳”，我估计目标程序是没有处理IAT的。 2010-3-18 09:20 0
TCAV 雪币： 139 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 5 楼这个应该是最小保护的，IAT表的确也没处理。呵呵，的确离把nooby大侠的东东搞掉还有很大的差距。回头有空再研究吧。 2010-3-18 11:00 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 6 楼期待你找虚拟了OEP得~ 2010-3-18 20:14 0
TCAV 雪币： 139 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 7 楼虚拟化OEP的确不好办，除非只是虚拟化了很少一部分（只虚拟跟程序无关的编译器生产的那部分代码）。偶讲的内存写断点+虚拟过程返回点断点的方法，可以找到代码被还原后执行非虚拟化代码的地方。如果虚拟的不多的话，只要能判断编译器就可以还原原OEP。今天偶看了个加vmp的样本，偶的方法也可以找到OEP,不过貌似找虚拟化过程返回点的方法要变通一下，在断到api前trace跟踪。其实道理都是一样的。 2010-3-18 22:57 0
hgl 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hgl 8 楼写的太精辟了 2010-3-21 10:07 0
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 9 楼 IAT 的解密还是很有难度的啊，欢迎楼主继续深入的研究， 2010-3-21 12:04 0
xianboabcd 雪币： 474 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 10 楼楼主经验不错，谢谢分享！ 2010-3-21 21:48 0
hyperchem 雪币： 295 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 128 粉丝 1 关注私信	hyperchem 1 11 楼楼主的思维不错。鼓励下！这个样本的NP，只是偷了一个字节的OEP。比较好找，而且壳代码的api地址没有hook。 1.7x开始np的shell里面多了一个虚拟机，楼主runtrace找的就是虚拟机的出口，这样只要在出口下好断点，就可以无视虚拟机调试了。。。此外虚拟机出口可以直接搜索指令，mov esp，ebp。然后看后面的指令只是不popad popfd。如果是的话，一般就是出口了，这样很容易找到。。其实是可以anti 区段的内存断点的。。。楼主比较幸运。。。。 2010-3-22 04:47 0
奘和雪币： 4902 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 12 楼能动得了NP的都是牛人啊学习！ 2010-3-22 07:47 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 13 楼下来学习下，多谢楼主分享 2010-3-22 09:48 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 14 楼 LZ的文章很好多谢分享思路 2010-3-22 15:27 0
张良雪币： 31 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 47 粉丝 2 关注私信	张良 15 楼我要看看，学习一下你的方法。 2010-3-22 17:59 0
huaishao 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	huaishao 16 楼学习一下，我有个壳就是这NP壳 2010-3-27 19:45 0
jlboycool 雪币： 253 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 40 粉丝 0 关注私信	jlboycool 17 楼呵呵，谢谢啊 2010-3-27 19:51 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 18 楼看你的文章太高兴了语言诙谐而有深度 2010-3-27 21:55 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 19 楼学习学习学习学习学习学习 2010-3-28 21:58 0
a光光光雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	a光光光 20 楼技术类，经验类文章都要支持下 2010-3-29 15:38 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 21 楼原来是demo 2010-3-29 17:18 0
szredhair 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	szredhair 22 楼学习下，谢谢 2010-5-16 23:29 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 23 楼收藏学习，关于NP的资料不多。 2010-5-18 08:42 0
过分耀眼雪币： 231 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	过分耀眼 24 楼先收藏改天下来看看 · 2010-5-19 17:00 0
王者之剑雪币： 142 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 116 粉丝 1 关注私信	王者之剑 1 25 楼过来看下，这个在UPK里有看到。。。。还看到师父了，呵呵 2010-5-28 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TCAV

发帖

回帖

RANK

关注

私信

他的文章

[原创]NoobyProtect SE1.7.0.0 脱壳之找OEP 20408

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
wangbin 雪币： 211 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wangbin 2 楼这个都被你破掉，NOOBY要升级了 2010-3-17 23:56 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 3 楼 Demo . 2010-3-18 00:39 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 4 楼解码之后按照语言特征找，海风大牛有句话说的好，“以前找到OEP等于脱壳，现在找到OEP才开始脱壳”，我估计目标程序是没有处理IAT的。 2010-3-18 09:20 0
TCAV 雪币： 139 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 5 楼这个应该是最小保护的，IAT表的确也没处理。呵呵，的确离把nooby大侠的东东搞掉还有很大的差距。回头有空再研究吧。 2010-3-18 11:00 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 6 楼期待你找虚拟了OEP得~ 2010-3-18 20:14 0
TCAV 雪币： 139 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 7 楼虚拟化OEP的确不好办，除非只是虚拟化了很少一部分（只虚拟跟程序无关的编译器生产的那部分代码）。偶讲的内存写断点+虚拟过程返回点断点的方法，可以找到代码被还原后执行非虚拟化代码的地方。如果虚拟的不多的话，只要能判断编译器就可以还原原OEP。今天偶看了个加vmp的样本，偶的方法也可以找到OEP,不过貌似找虚拟化过程返回点的方法要变通一下，在断到api前trace跟踪。其实道理都是一样的。 2010-3-18 22:57 0
hgl 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hgl 8 楼写的太精辟了 2010-3-21 10:07 0
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 9 楼 IAT 的解密还是很有难度的啊，欢迎楼主继续深入的研究， 2010-3-21 12:04 0
xianboabcd 雪币： 474 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 10 楼楼主经验不错，谢谢分享！ 2010-3-21 21:48 0
hyperchem 雪币： 295 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 128 粉丝 1 关注私信	hyperchem 1 11 楼楼主的思维不错。鼓励下！这个样本的NP，只是偷了一个字节的OEP。比较好找，而且壳代码的api地址没有hook。 1.7x开始np的shell里面多了一个虚拟机，楼主runtrace找的就是虚拟机的出口，这样只要在出口下好断点，就可以无视虚拟机调试了。。。此外虚拟机出口可以直接搜索指令，mov esp，ebp。然后看后面的指令只是不popad popfd。如果是的话，一般就是出口了，这样很容易找到。。其实是可以anti 区段的内存断点的。。。楼主比较幸运。。。。 2010-3-22 04:47 0
奘和雪币： 4902 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 12 楼能动得了NP的都是牛人啊学习！ 2010-3-22 07:47 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 13 楼下来学习下，多谢楼主分享 2010-3-22 09:48 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 14 楼 LZ的文章很好多谢分享思路 2010-3-22 15:27 0
张良雪币： 31 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 47 粉丝 2 关注私信	张良 15 楼我要看看，学习一下你的方法。 2010-3-22 17:59 0
huaishao 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	huaishao 16 楼学习一下，我有个壳就是这NP壳 2010-3-27 19:45 0
jlboycool 雪币： 253 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 40 粉丝 0 关注私信	jlboycool 17 楼呵呵，谢谢啊 2010-3-27 19:51 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 18 楼看你的文章太高兴了语言诙谐而有深度 2010-3-27 21:55 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 19 楼学习学习学习学习学习学习 2010-3-28 21:58 0
a光光光雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	a光光光 20 楼技术类，经验类文章都要支持下 2010-3-29 15:38 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 21 楼原来是demo 2010-3-29 17:18 0
szredhair 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	szredhair 22 楼学习下，谢谢 2010-5-16 23:29 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 23 楼收藏学习，关于NP的资料不多。 2010-5-18 08:42 0
过分耀眼雪币： 231 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	过分耀眼 24 楼先收藏改天下来看看 · 2010-5-19 17:00 0
王者之剑雪币： 142 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 116 粉丝 1 关注私信	王者之剑 1 25 楼过来看下，这个在UPK里有看到。。。。还看到师父了，呵呵 2010-5-28 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复