首页
社区
课程
招聘
[原创]Tears to Tiara 汉化版 SVPK 1.3x 脱壳和优化实战总结
发表于: 2010-9-8 12:15 9149

[原创]Tears to Tiara 汉化版 SVPK 1.3x 脱壳和优化实战总结

2010-9-8 12:15
9149

由于加了这个壳让很多人无法使用,病毒误报情况严重,而且运行效率也慢很多。
鉴于此,决定把壳脱了,彻底解决病毒误报,提高运行效率。现把脱壳过程总结一下,作为教程发上来,供大家交流和参详。

工具篇:
OllyICE, PEiD, LoadPE, ImportRec

脱壳篇:
1. PEiD查壳, 是SVKP 1.3x -> Pavol Cerven,如图所示


2. 寻找OEP
打开OD, 调试设置里忽略全部异常,SFX页设置“选择块方式跟踪真正的入口点”,确定后加载游戏程序文件。
由于SFX的设置,所以程序不会停在SVPK壳的入口点:

00802000 TtT-cn.<模块入口点>          60                   pushad
00802001                         E8 00000000          call    00802006

而是直接来到这个壳有名的特征异常处:

0012E37E                         6285 1E220000        bound   eax, qword ptr [ebp+221E]
0012E384                         EB 02                jmp     short 0012E388

下硬件执行断点: he GetModuleHandleA 然后shift+F9运行,约20秒后,程序断在GetModuleHandleA入口处。

77E692A5 kernel32.GetModuleHandleA      8BFF                 mov     edi, edi
77E692A7                                55                   push    ebp

接下来为了让脱壳过程更加简单直接和系统化,我们在到达OEP前先解决API的重定向。

2. 修复IAT
删除前面的硬件断点,Alt+F9回到程序领空,ctrl+F 寻找SVPK壳的特征命令 

cmp     dword ptr [ebx], 2D66B1C5 

来到这里:
019B5784                                813B C5B1662D        cmp     dword ptr [ebx], 2D66B1C5
019B578A                                0F84 62180000        je      019B6FF2
019B5790                                813B 9404B2D9        cmp     dword ptr [ebx], D9B20494
019B5796                                0F84 AA1C0000        je      019B7446
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
019B5838                                813B B8B8B2FB        cmp     dword ptr [ebx], FBB2B8B8
019B583E                                0F84 56320000        je      019B8A9A
019B5844                                813B 8E5D2D57        cmp     dword ptr [ebx], 572D5D8E
019B584A                                0F84 86320000        je      019B8AD6
019B5850                                60                   pushad
019B5851                                8B03                 mov     eax, dword ptr [ebx]
019B5853                                8985 D8550200        mov     dword ptr [ebp+255D8], eax

上面这段是壳加密关键API的地方,我们跳过这些代码不让他加密,方法是把 019B578A 的 je   019B6FF2 修改成 jmp     019B5850 直接跳到019B5850 的 pushad处。

Ctrl+S 继续搜索第二处特征码
mov dword ptr ds:[edi],eax
popad
来到这里:
019B5B4F                                8907                 mov     dword ptr [edi], eax
019B5B51                                61                   popad

我们颠倒这两句为

019B5B4F                                61                   popad
019B5B50                                8907                 mov     dword ptr [edi], eax

经过以上处理,壳对API的重定向已经几乎形同虚设。
然后F9一下就直接停在程序的OEP了

00514E14                                  90                 nop
00514E15                                  90                 nop
00514E16                                  90                 nop
。。。。。。。。。。。。。。。。。。。。。。
00514E6A                                  90                 nop
00514E6B                                  90                 nop
00514E6C                                  90                 nop
00514E6D                               . E8 774C0000        call    00519AE9                          ; SFX 代码真正入口点
00514E72                               . 59                 pop     ecx
00514E73                               . 85C0               test    eax, eax
00514E75                               . 75 08              jnz     short 00514E7F
00514E77                               . 6A 1C              push    1C
00514E79                               . E8 C3000000        call    00514F41

3. 修补Stolen code
如大家所见,程序开头处被偷换了N多代码,数了数从00514E14  到00514E6C 共有0x58个nop, 即88个字节的代码被偷换了~ORZ
这么大的偷换量还原起来还是有一定的难度地。幸运的是,我们知道这是汉化版程序,是从日文原版修改来的,所以修复程序OEP的Stolen code可以直接拿日文原版的来用。
OD打开日文版程序复制OEP处88个字节:

00514B94 TtTjp.<模块入口点>             /$ 55                 push    ebp
00514B95                           |. 8BEC               mov     ebp, esp
00514B97                           |. 6A FF              push    -1
00514B99                           |. 68 104E5300        push    00534E10
00514B9E                           |. 68 F04C5100        push    00514CF0                          ; SE 处理程序安装
00514BA3                           |. 64:A1 00000000     mov     eax, dword ptr fs:[0]
00514BA9                           |. 50                 push    eax
00514BAA                           |. 64:8925 00000000   mov     dword ptr fs:[0], esp
00514BB1                           |. 83EC 58            sub     esp, 58
00514BB4                           |. 53                 push    ebx
00514BB5                           |. 56                 push    esi
00514BB6                           |. 57                 push    edi
00514BB7                           |. 8965 E8            mov     [local.6], esp
00514BBA                           |. FF15 24625200      call    near dword ptr [<&KERNEL32.GetVersion>; kernel32.GetVersion
00514BC0                           |. 33D2               xor     edx, edx
00514BC2                           |. 8AD4               mov     dl, ah
00514BC4                           |. 8915 44DE7A00      mov     dword ptr [7ADE44], edx
00514BCA                           |. 8BC8               mov     ecx, eax
00514BCC                           |. 81E1 FF000000      and     ecx, 0FF
00514BD2                           |. 890D 40DE7A00      mov     dword ptr [7ADE40], ecx
00514BD8                           |. C1E1 08            shl     ecx, 8
00514BDB                           |. 03CA               add     ecx, edx
00514BDD                           |. 890D 3CDE7A00      mov     dword ptr [7ADE3C], ecx
00514BE3                           |. C1E8 10            shr     eax, 10
00514BE6                           |. A3 38DE7A00        mov     dword ptr [7ADE38], eax
00514BEB                           |. 6A 01              push    1                                                           ; 复制到这里
00514BED                           |. E8 774C0000        call    00519869      
                    
二进制复制粘贴覆盖那些nop得到
00514E14                                  55                 push    ebp                               ; OEP
00514E15                                  8BEC               mov     ebp, esp
00514E17                                  6A FF              push    -1
00514E19                                  68 104E5300        push    00534E10
00514E1E                                  68 F04C5100        push    00514CF0
00514E23                                  64:A1 00000000     mov     eax, dword ptr fs:[0]
00514E29                                  50                 push    eax
00514E2A                                  64:8925 00000000   mov     dword ptr fs:[0], esp
00514E31                                  83EC 58            sub     esp, 58
00514E34                                  53                 push    ebx
00514E35                                  56                 push    esi
00514E36                                  57                 push    edi
00514E37                                  8965 E8            mov     dword ptr [ebp-18], esp
00514E3A                                  FF15 24625200      call    near dword ptr [526224]           ; 注意这个API是GetVersion
00514E40                                  33D2               xor     edx, edx
00514E42                                  8AD4               mov     dl, ah
00514E44                                  8915 44DE7A00      mov     dword ptr [7ADE44], edx
00514E4A                                  8BC8               mov     ecx, eax
00514E4C                                  81E1 FF000000      and     ecx, 0FF
00514E52                                  890D 40DE7A00      mov     dword ptr [7ADE40], ecx
00514E58                                  C1E1 08            shl     ecx, 8
00514E5B                                  03CA               add     ecx, edx
00514E5D                                  890D 3CDE7A00      mov     dword ptr [7ADE3C], ecx
00514E63                                  C1E8 10            shr     eax, 10
00514E66                                  A3 38DE7A00        mov     dword ptr [7ADE38], eax
00514E6B                                  6A 01              push    1
00514E6D                               . E8 774C0000        call    00519AE9                          ; SFX 代码真正入口点

注意stolen code中有个API的调用也被偷换了 即00514E3A     call    near dword ptr [526224]
这句查看日文版应该是GetVersion。我们需要手动修复之。

4. dump程序,重建IAT
先运行ImportRec, 选择游戏进程,在OEP 处先填入SFX得到的入口VA地址 00114E6D = 00514E6D - 00400000, 点击自动查找IAT, 获取输入表, 点击显示无效函数发现只有一个地址是无效的,如图所示:


那么,他到底是什么呢? 呵呵 经验告诉我们,SVKP有一个特征API是无法修复的,那就是: "ExitProcess", 这个API的位置正好就在图上 TerminateProcess之后。我们双击这个地址,手动输入ExitProcess即可全部修复完毕。这里顺便在列表中查看一下GetVersion的地址,得到RVA是 00127224 即 VA 00527224

我们再来到OD的那句需要修改的00514E3A 处,改为 call    near dword ptr [527224],现在这个API也正常显示了。再请出LoadPE, 先修正下镜像大小,然后完整转存。
接下来我们修复IAT,刚才那个ImportRec窗口大家还没有关吧,呵呵~~

把OEP的地址改为00114E14 (即修补偷换代码后的真正的OEP,第一个nop的地址), 然后直接点击修复转存文件(添加新段打钩)。
这样我们就一步到位的把脱壳和修复完成了。双击修复后的程序运行一切正常。 

优化篇:

5. 脱壳后的优化
若你不需要优化,其实也没有什么问题,只是这个脱壳后的文件体积比较大,有4.15M,所以接下来我们做下简单的优化。说到优化,其实也可以一步到位,在刚才最后一步转存完毕,但还没有修复IAT的时候,我们先把转存的文件用LoadPE的PE编辑器打开,把区段表中最后一个区段.svkp删掉(或者在刚才转存时选择部分转存),这个是壳的代码段,我们是不需要的。保存后,再对这个文件修复IAT。修复后双击文件还是正常运行的。这次得到的文件尺寸和刚才相比变化不大,只是去掉了壳的代码(最好把他们去掉,因为这个段即没有用,而且又会让很多杀软兴奋的 ~~)。现在可以使用LoadPE的重建功能重建PE了。重建后大小优化89%,尺寸是3.7M,运行一切正常,杀软也不再误报了。
至此SVPK脱壳优化步骤完毕。关于进一步对文件尺寸和结构的优化问题这里就不多说了,大家有兴趣的可以深入研究。

kaien
2010/09/08


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (4)
雪    币: 1163
活跃值: (137)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
2
感谢分享
一个疑问,如果你没有原版程序,那Stolen code有什么方法恢复?
2010-9-22 15:05
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
楼上兄台说的才是重点啊
2010-10-20 22:11
0
雪    币: 239
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习,讲的很明白!
2011-1-17 17:13
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
讲的真的非常不错,感 谢分享。
2011-1-17 21:06
0
游客
登录 | 注册 方可回帖
返回
//