昨天我发表了求助(http://bbs.pediy.com/showthread.php?p=792901#post792901),由于没有很详细的把思路和疑问写出来,所以没有引起高手的注意。今早8:00,我又开始凭着不服输的劲,继续研究被加密的代码。终于,在9:30的时候破解了出来。为了感谢各位网友提供的资料,小弟在此也把破解的思路跟大家共同分享。
壳:MoleBox V2.X -> MoleStudio.com [Overlay] *
1、用OD载入EXE文件,代码如下:
0049BBD3 > E8 00000000 CALL 高级班第.0049BBD8 ; (初始 cpu 选择)
0049BBD8 60 PUSHAD ; esp
0049BBD9 E8 4F000000 CALL 高级班第.0049BC2D ; c1
0049BBDE 0FCE BSWAP ESI
0049BBE0 38C4 CMP AH,AL
0049BBE2 D942 06 FLD DWORD PTR DS:[EDX+6]
0049BBE5 13FD ADC EDI,EBP
0049BBE7 632422 ARPL WORD PTR DS:[EDX],SP
0049BBEA D102 ROL DWORD PTR DS:[EDX],1
0049BBEC B5 DB MOV CH,0DB
0049BBEE E8 7700148A CALL 8A5DBC6A
0049BBF3 CC INT3
0049BBF4 824E C1 DC OR BYTE PTR DS:[ESI-3F],FFFFFFDC
0049BBF8 C3 RETN ; 一个循环?
0049BBF9 098F B79C1167 OR DWORD PTR DS:[EDI+67119CB7],ECX
0049BBFF ED IN EAX,DX ; I/O 命令
0049BC00 52 PUSH EDX
0049BC01 EE OUT DX,AL ; I/O 命令
0049BC02 B4 46 MOV AH,46
0049BC04 2E:E9 BF1F64DF JMP DFADDBC9 ; 多余的前缀
0049BC0A 8A5E 82 MOV BL,BYTE PTR DS:[ESI-7E]
0049BC0D 1A8E 8A3E09C7 SBB CL,BYTE PTR DS:[ESI+C7093E8A]
0049BC13 41 INC ECX
0049BC14 B8 7D36E9B1 MOV EAX,B1E9367D
0049BC19 DD50 C1 FST QWORD PTR DS:[EAX-3F]
0049BC1C 40 INC EAX
0049BC1D 06 PUSH ES
0049BC1E E9 2A6E0000 JMP 高级班第.004A2A4D
0049BC23 E9 3E6E0000 JMP 高级班第.004A2A66
0049BC28 E9 396E0000 JMP 高级班第.004A2A66
0049BC2D E8 6EFBFFFF CALL 高级班第.0049B7A0 ; c2
0049BC32 CE INTO
0049BC33 0101 ADD DWORD PTR DS:[ECX],EAX
·······························(以下略)
1、选择0049BBDE一栏,按下F4(程序运行到这一句暂停),程序运行出输入密码窗口。我猜想MOLEBOX入口估计就在0049BBD8、0049BBD9两个语句内,0049BBD9到处跳转,也没有发现PUSHAD,就运行入NTDLL代码里面了,因此,我想,0049BBD8这一句可能就是MOLEBOX的入口。在这里下了硬件中断,并重新开始按F4调试程序,程序到PUSHAD一句暂停。
2、下载论坛上的视频提取脚本(http://bbs.pediy.com/showthread.php?t=106305),感谢大头和尚。使用MoleBox 2.xx Unpacker + OEP Finder v1.10 by Cherry。在OD菜单中调入脚本,运行,视频文件AVI就自动解包到“!UNPACKED!”里面。打开视频文件,声音图像正常。
3、十分感谢各位老鸟和看雪论坛提供的方法,尤其是《飓风视频加密系统之原始视频提取教程》,通过反复看这段视频,使我找到了运气。虽然对于破解也是糊里糊涂,但是在大家的帮助下也算通过自己的手把视频提取出来了。
4、上面的视频提取,很关键的地方是MOLEBOX入口的寻找,特征就是PUSHAD。为了寻找这个入口,需要了解OD的快捷键,比如F4、F7、F8等。由于水平有限,暂时把心得写到这里。并期望与大家共同提高。
[课程]Linux pwn 探索篇!
以后慢慢学习!!!
