首页
社区
课程
招聘
也谈脱ASProtect 1.2 加壳DLL
发表于: 2005-3-4 01:11 8129

也谈脱ASProtect 1.2 加壳DLL

2005-3-4 01:11
8129

【调试 DLL】TestDLL.DLL
【调试环境】WinXP、Ollydbg1.10、LordPE、DLL_Loader、ImportRect1.6
【参考文章】fly的:用Ollydbg手脱ASProtect V1.23RC4加壳的DLL
【学习目的】初次练习使用Ollydbg

一、找OEP
  (1)
    用OllyDbg加载 TestDLL.DLL
    F9运行,按Shift-F9跳过异常18次后来到:(下面代码是 ASProtect 1.2 经典特征)

    007DFC2A   3100           XOR DWORD PTR DS:[EAX],EAX
    007DFC2C   64:8F05 000000>POP DWORD PTR FS:[0]
    007DFC33   58             POP EAX
    007DFC34   833D 34397E00 >CMP DWORD PTR DS:[7E3934],0
    007DFC3B   74 14          JE SHORT 007DFC51
    007DFC3D   6A 0C          PUSH 0C
    007DFC3F   B9 34397E00    MOV ECX,7E3934
    007DFC44   8D45 F8        LEA EAX,DWORD PTR SS:[EBP-8]
    007DFC47   BA 04000000    MOV EDX,4
    007DFC4C   E8 4BC7FFFF    CALL 007DC39C
    007DFC51   FF75 FC        PUSH DWORD PTR SS:[EBP-4]
    007DFC54   FF75 F8        PUSH DWORD PTR SS:[EBP-8]
    007DFC57   8B45 F4        MOV EAX,DWORD PTR SS:[EBP-C]
    007DFC5A   8338 00        CMP DWORD PTR DS:[EAX],0
    007DFC5D   74 01          JE SHORT 007DFC60
    007DFC5F   50             PUSH EAX
    007DFC60   FF75 F0        PUSH DWORD PTR SS:[EBP-10]
    007DFC63   FF65 EC        JMP DWORD PTR SS:[EBP-14]   <-在此处设断点
    007DFC66   5F             POP EDI
    007DFC67   5E             POP ESI
    007DFC68   5B             POP EBX
    007DFC69   8BE5           MOV ESP,EBP
    007DFC6B   5D             POP EBP
    007DFC6C   C3             RETN
(2)
    再次按Shift-F9断在:007DFC63 处,寄存器窗口如下:
    EAX 100582D1 TestDll.100582D1
    ECX 0006FB6C
    EDX 00000000
    EBX 007F5ADA   
    ESP 0006FB40  <-在此地址上右键->在转存中跟随
    EBP 0006FB74
    ESI 007B0000
    EDI 007D0000
    EIP 007DFC63

    转存窗口:
    0006FB40 :    10000000    100582D1    2F1B414A    0006FB88
                                           ---**---   
                                 此处右键->断点->硬件访问->Word
  (3)
    按F9中断在异常处,再按Shift-F9,来到
    007F5C1E   05 B4F1E6D0    ADD EAX,D0E6F1B4
    007F5C23   5C             POP ESP
    007F5C24   0BC9           OR ECX,ECX
    007F5C26   74 02          JE SHORT 007F5C2A
    007F5C28   8901           MOV DWORD PTR DS:[ECX],EAX
    007F5C2A   03C3           ADD EAX,EBX
    007F5C2C   894424 1C      MOV DWORD PTR SS:[ESP+1C],EAX
    007F5C30   61             POPAD
    007F5C31   FFE0           JMP EAX  <--转到OEP

        1、到这里,仅仅是介绍了找到OEP的方法,此时还不能够Dump,因为ASProtect1.2的壳中
    使用了HookApi技术,有很多API被改做调用外壳中的变形代码了。所以,为了简便起见,最
    好要在Dump之前就将IAT中的这些API修正过来,这样ImportRect就可能全部找到了。

       2、可以在此处查找到Import,方法是:随便从程序找一个API调用,如:
    call dword ptr ds:[1003B040] ; APIFunction,在转存中跟随1003B040,上下看到许多函数地址,
    很明显的可以找到IAT开始和结束的地址(下面还将具体介绍查找IAT的方法)。

二、避开IAT加密

(1)找到IAT变形处   
   
   [方法_1]
    重新加载TestDll.Dll,F9运行中断在异常处,Shift-F9,Shift_F9,向上翻看找到如下代码:
    007DF4A2   8BCB           MOV ECX,EBX
    007DF4A4   8D85 FFFEFFFF  LEA EAX,DWORD PTR SS:[EBP-101]
    007DF4AA   8BD6           MOV EDX,ESI
    007DF4AC   E8 AB4FFFFF    CALL 007D445C
    007DF4B1   6A 0A          PUSH 0A
    007DF4B3   B9 12397E00    MOV ECX,7E3912
    007DF4B8   8BD3           MOV EDX,EBX
    007DF4BA   8D85 FFFEFFFF  LEA EAX,DWORD PTR SS:[EBP-101]
    007DF4C0   E8 D7CEFFFF    CALL 007DC39C
    007DF4C5   8DB5 FFFEFFFF  LEA ESI,DWORD PTR SS:[EBP-101]
    007DF4CB   56             PUSH ESI
    007DF4CC   8B45 0C        MOV EAX,DWORD PTR SS:[EBP+C]
    007DF4CF   50             PUSH EAX
    007DF4D0   E8 17FCFFFF    CALL 007DF0EC              <-*** 这就是典型特征
    007DF4D5   E8 7EFEFFFF    CALL 007DF358              <-***(此函数完成API变形,nop掉)
    007DF4DA   8B17           MOV EDX,DWORD PTR DS:[EDI] <-***
    007DF4DC   8902           MOV DWORD PTR DS:[EDX],EAX <-***(edx是IAT中的一个地址)
    007DF4DE   EB 7B          JMP SHORT 007DF55B

   [方法_2]
    直接CTRL-S搜索:
    MOV EDX,DWORD PTR DS:[EDI]
    MOV DWORD PTR DS:[EDX],EAX

   [方法_3]
    在第(一)中的最后确定了IAT位置后,直接在内存地址上设置断点。

  (2)获取没变形的IAT
     在将007DF4D5处的call改成nop后,在数据窗口查看各个IAT是否已经全部 恢复,一旦恢复,立刻转
到007DF4D5处,将nop掉的call改回原来的call 007DF358,因为下面接着就是自校验,如果不改,程序
就不能够到达OEP了。然后通过:[一、找OEP] 的方法到达OEP。

三、Dump代码
      用LoadPE完全Dump TestDLL.DLL,Dump文件为dump.dll。此时的Dump.dll的IAT中的API已经几乎没
   有变形的了。

四、查找重定位表(参看fly的:用Ollydbg手脱ASProtect V1.23RC4加壳的DLL )

   ASProtect壳没有加密重定位表,这使得其脱壳要简单。            
   再次用Ollydbg载入TestDll.dll,F9中断在异常处。
   下断:BPX GetModuleHandleA,选择全部设置断点。
   当我们在GetModuleHandleA处中断2次后,清除所有断点,Alt+F9返回。

   返回后CTRL-S在“整个段块”搜索命令序列:

   代码:
   --------------------------------------------------------------------------------
   mov dx,word ptr ds:[ebx]
   movzx eax,dx
   shr eax,0C
   sub ax,1
   --------------------------------------------------------------------------------

   007DF90C   8B00           MOV EAX,DWORD PTR DS:[EAX]
   007DF90E   8B40 10        MOV EAX,DWORD PTR DS:[EAX+10] <-**[eax+10]=就是重定位表的RVA
   007DF911   8B4C24 04      MOV ECX,DWORD PTR SS:[ESP+4]
   007DF915   2BCA           SUB ECX,EDX
   007DF917   890C24         MOV DWORD PTR SS:[ESP],ECX
   007DF91A   833C24 00      CMP DWORD PTR SS:[ESP],0
   007DF91E   74 5F          JE SHORT 007DF97F
   007DF920   8B5C24 04      MOV EBX,DWORD PTR SS:[ESP+4]
   007DF924   03D8           ADD EBX,EAX
   007DF926   EB 51          JMP SHORT 007DF979
   007DF928   8D43 04        LEA EAX,DWORD PTR DS:[EBX+4]
   007DF92B   8B00           MOV EAX,DWORD PTR DS:[EAX]
   007DF92D   83E8 08        SUB EAX,8
   007DF930   D1E8           SHR EAX,1
   007DF932   8BFA           MOV EDI,EDX
   007DF934   037C24 04      ADD EDI,DWORD PTR SS:[ESP+4]
   007DF938   83C3 08        ADD EBX,8
   007DF93B   8BF0           MOV ESI,EAX
   007DF93D   85F6           TEST ESI,ESI
   007DF93F   7E 38          JLE SHORT 007DF979
   **************** 下面这是找到处 ********************
   007DF941   66:8B13        MOV DX,WORD PTR DS:[EBX]
   007DF944   0FB7C2         MOVZX EAX,DX
   007DF947   C1E8 0C        SHR EAX,0C
   007DF94A   66:83E8 01     SUB AX,1
   ****************************************************
   007DF94E   72 23          JB SHORT 007DF973
   007DF950   66:83E8 02     SUB AX,2
   007DF954   74 02          JE SHORT 007DF958
   007DF956   EB 11          JMP SHORT 007DF969
   007DF958   66:81E2 FF0F   AND DX,0FFF
   007DF95D   0FB7C2         MOVZX EAX,DX
   007DF960   03C7           ADD EAX,EDI
   007DF962   8B1424         MOV EDX,DWORD PTR SS:[ESP]
   007DF965   0110           ADD DWORD PTR DS:[EAX],EDX
   007DF967   EB 0A          JMP SHORT 007DF973
   007DF969   B8 90F97D00    MOV EAX,7DF990              ; ASCII "4"
   007DF96E   E8 69F0FFFF    CALL 007DE9DC
   007DF973   83C3 02        ADD EBX,2
   007DF976   4E             DEC ESI
   007DF977  ^75 C8          JNZ SHORT 007DF941
   007DF979   8B13           MOV EDX,DWORD PTR DS:[EBX]
   007DF97B   85D2           TEST EDX,EDX
   007DF97D  ^75 A9          JNZ SHORT 007DF928 <-** 退出循环时候,EBX = 重定位表结束地址VA
   007DF97F   59             POP ECX
   007DF980   5A             POP EDX
   007DF981   5F             POP EDI
   007DF982   5E             POP ESI
   007DF983   5B             POP EBX
   007DF984   C3             RETN

   得到重定位表信息:
   RVA=52000,大小=10055dc4-10052000=3dc4

五、修复IAT   
   启动ImportRect,Option中去掉:Use PE Head From Disk 选项,在OEP处填入找到的OEP,点
   击IAT AutoSearch,找到IAT,GetImport取得Import。
   ImportRect指示有一个不能识别的函数,需要手动修复:
   ********************************************************************
   [Kernel32]
     rva:0003b26c   prt:007dc424
   ********************************************************************
   LoadPE查看TestDll的ImageBase为0x10000000,则
   (1) 在转存中查看10000000+3b26c = 1003b26c,得到[1003b26c] = 7dc424
   (2) 在CPU窗口:右键->前往->表达(E) 或 CTRL-G,输入:7dc424,确认。
   (3) 看到反汇编代码如下:
     007DC424   55             PUSH EBP
     007DC425   8BEC           MOV EBP,ESP
     007DC427   8B55 0C        MOV EDX,DWORD PTR SS:[EBP+C]
     007DC42A   8B45 08        MOV EAX,DWORD PTR SS:[EBP+8]
     007DC42D   3B05 BC207E00  CMP EAX,DWORD PTR DS:[7E20BC]
     007DC433   75 09          JNZ SHORT 007DC43E
     007DC435   8B0495 EC217E0>MOV EAX,DWORD PTR DS:[EDX*4+7E21EC>
     007DC43C   EB 07          JMP SHORT 007DC445
     007DC43E   52             PUSH EDX
     007DC43F   50             PUSH EAX
     007DC440   E8 AF7FFFFF    CALL 007D43F4 ;JMP to KERNEL32.GetProcAddress <-**OllyDbg 提示出来
     007DC445   5D             POP EBP
     007DC446   C2 0800        RETN 8

     OllyDbg提示得很明确,这是个GetProcAddress。

   (4) 在ImportRect双击出错的rva,在弹出的窗口下面的Name中输入:GetProcAddress 并确定。
   (5) FixDump。
   (6) 启动LoadPE,将重定位表填入:RVA=52000 size=3dc4,保存。

   至此,TestDll.DLL完全脱壳,测试正常。

                                                           Spring.W
                                                           2005.3.4

   


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (10)
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
2
由 Spring.W 于 2005-03-04 01:13 最后编辑

就冲这么晚,我也要顶一下。
2005-3-4 01:17
0
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
好文,学习!
2005-3-4 01:39
0
雪    币: 214
活跃值: (100)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
up up up
2005-3-4 10:15
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
下断:BP GetModuleHandleA,选择全部设置断点。

BP GetModuleHandleA
下断后回车即可,中BP和BPX不同


007DF97D 75 A9 JNZ SHORT 007DF928 <-** 退出循环时候,EBX = Import结束地址VA

重定位表的结束VA地址吧
2005-3-4 10:28
0
雪    币: 302
活跃值: (410)
能力值: ( LV12,RANK:410 )
在线值:
发帖
回帖
粉丝
6
最初由 fly 发布

BP GetModuleHandleA
下断后回车即可,中BP和BPX不同


........
2005-3-4 11:11
0
雪    币: 302
活跃值: (410)
能力值: ( LV12,RANK:410 )
在线值:
发帖
回帖
粉丝
7
最初由 fly 发布

BP GetModuleHandleA
下断后回车即可,中BP和BPX不同


........
2005-3-4 11:11
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
好文,学习!
2005-3-4 11:48
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
9
学习一下,支持
2005-3-4 12:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
不错,学习了!
2005-3-4 22:54
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
不错,支持
2005-3-4 22:59
0
游客
登录 | 注册 方可回帖
返回
//