首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]PC-Guard 5.0 -> Blagoje Ceklic之Multi-Instrument 3.2成功脱壳
发表于: 2010-10-19 18:22 6604

[原创]PC-Guard 5.0 -> Blagoje Ceklic之Multi-Instrument 3.2成功脱壳

kit99 活跃值
2010-10-19 18:22
6604

由于改了日期,不能贴出来了,只能讲一下思路了。

用PEiD 检查的结果:PC-Guard 5.0 -> Blagoje Ceklic

OllyICE载入目标文件
异常设置不忽略INT3中断外的全部异常,OD自动隐藏

Alt+M打开内存镜像,并在00401000下内存访问断点,Shift+F9运行。

跳过试用期窗口
到达  00516542
看代码,课确认是OEP处,注意OEP为00116542

【Dump及修复IAT】

1、使用OllyDump插件去掉"Rebuild Import"选项后,直接在OEP处dump保存文件。

注意:如果这时直接使用ImportREC修复文件,IAT会存在一个无效函数,所以我们现在利用新工具Universal Import Fixer (UIF)来获取及修正IAT。

2、在此时的OD中打开附件进程功能,找到目标进程,复制进程的PID,然后打开UIF并粘贴到"Process ID"中,勾选"Fix Dircetly Imports"选项,OK,"Start"开始修复IAT表。
UIF修复记录中有
IAT RVA :
IAT SIZE:
两个数据

3、运行ImportREC,设置选项:重建原始FT、创建新的IAT、修正EP到OEP、使用来自磁盘的PE头文件头,最后找到进程并填写相关数据:
并用OEP,IAT RVA,IAT SIZE完善。
最后获取输入表,检查函数全部有效,修复抓取文件即可。

接下来,比较关键
利用OD载入修复后的抓取文件
(具体的代码由于没有使用软件可供再试一次,只能直接用结果了)
有段代码,是60 EB 01 E3 EB 01 D4 E8 00 00 00 00的花指令,直接改成90 90 90 C3

004B5560   $  55            push    ebp
004B5561   .  8BEC          mov     ebp, esp
004B5563   .  81EC 1C050000 sub     esp, 51C
004B5569   .  8D85 E4FAFFFF lea     eax, dword ptr [ebp-51C]
004B556F   .  C785 E4FAFFFF>mov     dword ptr [ebp-51C], 51C
004B5579   .  50            push    eax
004B557A   .  FF15 4CC95200 call    dword ptr [52C94C]               ;  MIs.00569D2F
;此处调用的是花指令,直接返回即可!
004B5580   .  85C0          test    eax, eax
004B5582   .  EB 08         jmp     short 004B558C
;直接改成原来是74 08,直接改成 jmp
004B5584   .  6A 00         push    0
004B5586   .  FF15 00825700 call    dword ptr [<&msvcrt.exit>]       ;  msvcrt.exit
004B558C   >  8B8D D0FCFFFF mov     ecx, dword ptr [ebp-330]
004B5592   .  33C0          xor     eax, eax
004B5594   .  3BC8          cmp     ecx, eax
004B5596   .  EB 24         jmp     short 004B55BC
;原来是74 3D还是75 3D,直接改成 EB 24
004B5598   .  3985 04FEFFFF cmp     dword ptr [ebp-1FC], eax
004B559E   .  0F84 92010000 je      004B5736
004B55A4   .  8B85 08FEFFFF mov     eax, dword ptr [ebp-1F8]
004B55AA   .  83F8 FF       cmp     eax, -1
004B55AD   .  0F84 83010000 je      004B5736
004B55B3   .  83F8 1E       cmp     eax, 1E
004B55B6   .  0F87 7A010000 ja      004B5736
004B55BC   .  C705 D8E45400>mov     dword ptr [54E4D8], -2
004B55C6   .  66:C705 E0645>mov     word ptr [5564E0], 1F
004B55CF   .  33C0          xor     eax, eax
004B55D1   .  8BE5          mov     esp, ebp
004B55D3   .  5D            pop     ebp
004B55D4   .  C3            retn
改完后能够直接运行了!

原破解3.0的帖子
http://bbs.pediy.com/showthread.php?t=65882


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//