EncryptPE V2.2005.3.14试炼Service保护方式脱壳
下载页面: http://www.encryptpe.com/
软件大小: 2.11M
软件语言: 简体中文
软件类别: 国产软件 / 共享版 / 加密工具
应用平台: Win9X/ME/NT/2000/XP/2003
软件简介: EncryptPE是老王的强壳。EncryptPE 能加密保护常规PE文件(EXE、DLL、OCX等一般程序或NT服务程序),防静态分析修改,反动态跟踪调试,有效地保护软件,防止盗版。除常规的对抗调试器(SoftIce、TRW、OllyDbg等)、监视器、DUMP工具方法外,EncryptPE采用的加密保护的手段还有:随机加密算法、CRC校验、变形、代码替换、进程注入、APIHOOK、多线程、调试运行、全程监控等。
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教
【调试环境】:WinXP、flyODBG、PEiD、LordPE、ImportREC
―――――――――――――――――――――――――――――――――
【脱壳过程】:
EncryptPE是老王的强壳,想必大家都看到过,外挂、木马之类用EncryptPE加壳的较多。
简单整理了一下以前的脱壳记录,希望EncryptPE越来越猛,说点拜年话,免得老王来扁我,呵呵,不过大多数外挂都是采用“非Service”加壳方式,所以老王也不必担心。
―――――――――――――――――――――――――――――――――
一、EncryptPE的版本和加壳方式
其实EncryptPE V2.2004.8.10和EncryptPE V2.2005.3.14就脱壳而言是一样的。
[EncryptPE V2.2004.8.10-V2.2005.3.14 -> WFS]
signature =60 9C 64 FF 35 00 00 00 00 E8 7A
ep_only = true
最简单、准确地察看EncryptPE版本号是用WinHex等16进制工具打开被加壳程序,在PE头下面就可以看到。
00000220 45 50 45 3A 20 45 6E 63 72 79 70 74 50 45 20 56 EPE: EncryptPE V
00000230 32 2E 32 30 30 35 2E 33 2E 31 34 2C 20 43 6F 70 2.2005.3.14, Cop
00000240 79 72 69 67 68 74 20 28 43 29 20 57 46 53 00 00 yright (C) WFS..
EncryptPE有2种加壳方式:Service和非Service。看帮助里的说明:“选择您要加密的PE文件(EXE、DLL、OCX等),如果是NT服务程序,请选中Service项(一般程序也可以在选中Service项后加密,其保护强度比不选中Service时稍低)。”
最简单的判断加壳方式的方法是:运行加壳程序后在LordPE里可以看见真实进程名的是“Service”加壳方式,只看见[system]字样的是“非Service”加壳方式,如EncryptPE主程序。
“Service”加壳方式强度低了不少,柿子拣软的捏,呵呵,当然从这个先下手了。
其实两种加壳方式的输入表处理、代码变形的处理方法都是一样的,只不过“非Service”加壳方式要注入exeplorer.exe解码、开启新的进程。
―――――――――――――――――――――――――――――――――
二、获得加壳前文件的PE头、OEP等信息
运行EncryptPE以“Service”方式加壳Win98的记事本,下面开始演示脱壳。
设置OllyDbg忽略所有异常选项。用IsDebug插件去掉OllyDbg的调试器标志。
0040D000 60 pushad
//进入OllyDbg后暂停在这
0040D001 9C pushfd
0040D002 64:FF35 0000000>push dword ptr fs:[0]
0040D009 E8 7A010000 call 0040D188
BP IsDebuggerPresent 中断后看堆栈:
0104FF40 711AF6B2 /CALL 到 IsDebuggerPresent 来自 V2200531.711AF6B0
0104FF44 0104FF78 指针到下一个 SEH 记录
看到EncryptPE开始检测IsDebuggerPresent,取消这个断点。
Alt+M打开内存察看窗口,找到EncryptPE所使用的支持库V2200531.epe
地址 大小 物主 区段 包含
71120000 00001000 V2200531 PE header
71121000 000AC000 V2200531 EPE0
711CD000 0006A000 V2200531 EPE1 code
71237000 00001000 V2200531 .rsrc data,imports,expor
V2200531.epe就是EncryptPE壳的核心了。
Ctrl+G:711CD000 这是V2200531.epe第3区段的开始地址。
711CD000 894D F8 mov dword ptr ss:[ebp-8],ecx
//V2200531.epe第3区段的开始地址
711CD003 8955 FC mov dword ptr ss:[ebp-4],edx
711CD006 8BF0 mov esi,eax
Ctrl+S在当前位置下搜索命令序列:
lea ecx,dword ptr ss:[ebp-28]
mov eax,dword ptr ss:[ebp-18]
mov edx,dword ptr ds:[eax]
mov eax,dword ptr ss:[ebp-28]
找到在711E4514处,我们在其下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点,Shift+F9中断下来
711E4514 8D4D D8 lea ecx,dword ptr ss:[ebp-28]
//找到这里
711E4517 8B45 E8 mov eax,dword ptr ss:[ebp-18]
711E451A 8B10 mov edx,dword ptr ds:[eax]
711E451C 8B45 D8 mov eax,dword ptr ss:[ebp-28]
711E451F E8 0CA3FCFF call 711AE830
711E4524 837D D8 00 cmp dword ptr ss:[ebp-28],0
//硬件执行断点 [ebp-28]=[0013FF5C]=00E4D6DC ★
711E4528 0F84 AE0C0000 je 711E51DC
711E452E 837D D4 00 cmp dword ptr ss:[ebp-2C],0
711E4532 0F8E A40C0000 jle 711E51DC
711E4538 8B45 D8 mov eax,dword ptr ss:[ebp-28]
711E453B 8B40 3C mov eax,dword ptr ds:[eax+3C]
711E453E 0345 D8 add eax,dword ptr ss:[ebp-28]
711E4541 8B40 28 mov eax,dword ptr ds:[eax+28]
711E4544 0345 DC add eax,dword ptr ss:[ebp-24]
//EAX=000010CC+00400000=004010CC ★ OEP值
711E4547 83F0 FF xor eax,FFFFFFFF
//异或FFFFFFFF后作为下面解码的参数
711E454A 8945 F0 mov dword ptr ss:[ebp-10],eax
在711E4524处中断后在数据窗口察看[0013FF5C]=00E4D6DC处数据:
00E4D6DC 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ?......?..
00E4D6EC B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ?......@.......
00E4D6FC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00E4D70C 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 ............?..
00E4D71C 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ?.???L?Th
00E4D72C 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno
00E4D73C 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS
00E4D74C 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$.......
00E4D75C 50 45 00 00 4C 01 05 00 65 91 46 35 00 00 00 00 PE..L.e?5....
很明显,这是PE头数据,是哪个PE文件的?呵呵,加壳前的文件!并且PE头、资源段、重定位表段等都是原来的,当然,代码段某些数据是壳所加密的。现在用LordPE部分脱壳出这部分数据,Address=00E4D6DC、Size=0000D000,存为dumped0.eXe
Size可以根据最后一个区段信息计算得出。
00E4D8EC 00 00 00 00 40 00 00 40 2E 72 65 6C 6F 63 00 00 ....@..@.reloc..
00E4D8FC 9C 0A 00 00 00 C0 00 00 00 10 00 00 00 C0 00 00 ?...?.....?.
Size=0000C000(ROffset)+00001000(RSize)=0000D000
―――――――――――――――――――――――――――――――――
三、Magic Jmp 搞定输入表
下面来避开输入表加密。Ctrl+F在整个段块搜索命令:mov eax,0F
找到在711E3748处,这里就是处理输入表加密的地方了。
在711E3756处设置硬件执行断点,Shift+F9中断后修改Magic Jmp
711E3728 55 push ebp
711E3729 8BEC mov ebp,esp
711E372B 83C4 F8 add esp,-8
711E372E 53 push ebx
711E372F 56 push esi
711E3730 57 push edi
711E3731 8BF9 mov edi,ecx
711E3733 8955 FC mov dword ptr ss:[ebp-4],edx
711E3736 8BF0 mov esi,eax
711E3738 8B45 FC mov eax,dword ptr ss:[ebp-4]
711E373B 8945 F8 mov dword ptr ss:[ebp-8],eax
711E373E 807D 08 00 cmp byte ptr ss:[ebp+8],0
711E3742 0F84 85000000 je 711E37CD
711E3748 B8 0F000000 mov eax,0F
//找到这里
711E374D E8 1AF0F3FF call 7112276C
711E3752 8BD8 mov ebx,eax
711E3754 85DB test ebx,ebx
711E3756 74 75 je short 711E37CD
//修改为:JMP 711E37CD ★ Magic Jmp
711E3758 8B86 68030000 mov eax,dword ptr ds:[esi+368]
711E375E E8 3D24F4FF call 71125BA0
711E3763 40 inc eax
711E3764 50 push eax
711E3765 8D86 68030000 lea eax,dword ptr ds:[esi+368]
711E376B B9 01000000 mov ecx,1
711E3770 8B15 ACF61D71 mov edx,dword ptr ds:[711DF6AC]
711E3776 E8 E125F4FF call 71125D5C
711E377B 83C4 04 add esp,4
711E377E 8B86 68030000 mov eax,dword ptr ds:[esi+368]
711E3784 E8 1724F4FF call 71125BA0
711E3789 8B96 68030000 mov edx,dword ptr ds:[esi+368]
711E378F 895C82 FC mov dword ptr ds:[edx+eax*4-4],ebx
711E3793 C603 E8 mov byte ptr ds:[ebx],0E8
711E3796 8BD3 mov edx,ebx
711E3798 8BC2 mov eax,edx
711E379A 40 inc eax
711E379B B9 68C91A71 mov ecx,711AC968
711E37A0 2BC8 sub ecx,eax
711E37A2 83E9 04 sub ecx,4
711E37A5 8908 mov dword ptr ds:[eax],ecx
711E37A7 C643 05 FF mov byte ptr ds:[ebx+5],0FF
711E37AB C643 06 25 mov byte ptr ds:[ebx+6],25
711E37AF 8BC2 mov eax,edx
711E37B1 83C0 07 add eax,7
711E37B4 8BCA mov ecx,edx
711E37B6 83C1 0B add ecx,0B
711E37B9 8908 mov dword ptr ds:[eax],ecx
711E37BB 8BC3 mov eax,ebx
711E37BD 83C0 0B add eax,0B
711E37C0 8BCA mov ecx,edx
711E37C2 83C1 05 add ecx,5
711E37C5 334D FC xor ecx,dword ptr ss:[ebp-4]
711E37C8 8908 mov dword ptr ds:[eax],ecx
711E37CA 8955 F8 mov dword ptr ss:[ebp-8],edx
711E37CD 85FF test edi,edi
711E37CF 74 29 je short 711E37FA
711E37D1 33D2 xor edx,edx
711E37D3 55 push ebp
711E37D4 68 F0371E71 push 711E37F0
711E37D9 64:FF32 push dword ptr fs:[edx]
711E37DC 64:8922 mov dword ptr fs:[edx],esp
711E37DF 8BC7 mov eax,edi
711E37E1 8B55 F8 mov edx,dword ptr ss:[ebp-8]
711E37E4 8910 mov dword ptr ds:[eax],edx ; SHELL32.ShellExecuteA
//正确的函数写入,这里可以看见IAT地址
711E37E6 33C0 xor eax,eax
711E37E8 5A pop edx
711E37E9 59 pop ecx
711E37EA 59 pop ecx
711E37EB 64:8910 mov dword ptr fs:[eax],edx
711E37EE EB 0A jmp short 711E37FA
711E37F0 E9 7706F4FF jmp 71123E6C
711E37F5 E8 DA09F4FF call 711241D4
711E37FA 8B45 F8 mov eax,dword ptr ss:[ebp-8]
711E37FD 5F pop edi
711E37FE 5E pop esi
711E37FF 5B pop ebx
711E3800 59 pop ecx
711E3801 59 pop ecx
711E3802 5D pop ebp
711E3803 C2 0400 retn 4
//返回711E4E06处
修改完Magic Jmp后取消711E3756处硬件断点,继续看
711E4E01 E8 22E9FFFF call 711E3728
//处理输入表加密
711E4E06 EB 36 jmp short 711E4E3E
711E4E08 8BD0 mov edx,eax
711E4E0A 81E2 FFFF0000 and edx,0FFFF
711E4E10 8B45 FC mov eax,dword ptr ss:[ebp-4]
711E4E13 E8 3874FCFF call 711AC250
711E4E18 8945 BC mov dword ptr ss:[ebp-44],eax
711E4E1B 8A45 EF mov al,byte ptr ss:[ebp-11]
711E4E1E 50 push eax
711E4E1F A1 94DD1F71 mov eax,dword ptr ds:[711FDD94]
711E4E24 8B00 mov eax,dword ptr ds:[eax]
711E4E26 8B55 E4 mov edx,dword ptr ss:[ebp-1C]
711E4E29 8B0490 mov eax,dword ptr ds:[eax+edx*4]
711E4E2C 8BCF mov ecx,edi
711E4E2E 8B55 BC mov edx,dword ptr ss:[ebp-44]
711E4E31 E8 F2E8FFFF call 711E3728
711E4E36 3BFB cmp edi,ebx
711E4E38 74 04 je short 711E4E3E
711E4E3A 33C0 xor eax,eax
711E4E3C 8903 mov dword ptr ds:[ebx],eax
711E4E3E 83C3 04 add ebx,4
711E4E41 83C7 04 add edi,4
711E4E44 8B03 mov eax,dword ptr ds:[ebx]
711E4E46 85C0 test eax,eax
711E4E48 0F87 93FEFFFF ja 711E4CE1
711E4E4E A1 9CDB1F71 mov eax,dword ptr ds:[711FDB9C]
//[711FDB9C]=71200685
711E4E53 8038 00 cmp byte ptr ds:[eax],0
//[71200685]处保存的是检验标志位
711E4E56 75 13 jnz short 711E4E6B
//NOP掉 ★
711E4E58 83C6 14 add esi,14
711E4E5B 837E 0C 00 cmp dword ptr ds:[esi+C],0
711E4E5F 76 0A jbe short 711E4E6B
711E4E61 837E 10 00 cmp dword ptr ds:[esi+10],0
711E4E65 0F87 6AFBFFFF ja 711E49D5
//循环处理输入表
711E4E6B 33C0 xor eax,eax
//这里设置硬件执行断点 ★
Shift+F9,当我们中断在711E4E6B处时输入表就处理完毕了。运行ImportRec,填入RVA=000062E0、Size=240,获取输入表,函数都是有效的。修改OEP RVA=000010CC,可以保存树文件了。
―――――――――――――――――――――――――――――――――
四、部分检验
现在还原上面所作的修改吧,壳还有自检验的
711E4E6B 33C0 xor eax,eax
711E4E6D E8 9A050000 call 711E540C
//检验 ① 有兴趣可以跟踪进入看看EncryptPE是如何检验的
711E4E72 84C0 test al,al
711E4E74 75 0B jnz short 711E4E8
//如果检验有问题的话,则手动修改标志位Z=1,使这里不跳转 ★
711E4E76 33C0 xor eax,eax
711E4E78 E8 2FBBFCFF call 711B09AC
//检验 ②
711E4E7D 84C0 test al,al
711E4E7F 74 08 je short 711E4E89
//如果检验有问题的话,则手动修改标志位Z=1,使这里跳转 ★
711E4E81 A1 9CDB1F71 mov eax,dword ptr ds:[711FDB9C]
711E4E86 C600 01 mov byte ptr ds:[eax],1
//这里如果置1的话,则解码会不完全!因此要跳过去!★
―――――――――――――――――――――――――――――――――
五、解码修复
如果此时Ctrl+G:4010CC,或者Dump修复的话,则代码还没有还原完全
004010CC 55 push ebp
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
004010D2 56 push esi
004010D3 90 nop
004010D4 E8 D38CBFFF call FFFF9DAC
//代码还没有还原
下面开始变形代码的修复。通过修改EncryptPE的运行流程,使其自动还原变形代码。
Ctrl+F在当前位置下搜索命令:sub ax,0CCE9,找到在711E4FD2处,F4过去
711E4FCA 8BD8 mov ebx,eax
711E4FCC 83EB 02 sub ebx,2
711E4FCF 66:8B03 mov ax,word ptr ds:[ebx]
//下面是根据MOV和调用方式进行恢复代码 ★
711E4FD2 66:2D E9CC sub ax,0CCE9
//找到这里
711E4FD6 74 0E je short 711E4FE6
711E4FD8 66:2D A71B sub ax,1BA7
711E4FDC 74 47 je short 711E5025
711E4FDE 66:2D 0001 sub ax,100
711E4FE2 74 41 je short 711E5025
711E4FE4 EB 7D jmp short 711E5063
――――――――――――――――――――――――
1、调用表和跳转表解密
711E4FE6 E8 297EFCFF call 711ACE14
//统一放call 711ACE14里面Patch!★
711E4FEB 66:C700 FF25 mov word ptr ds:[eax],25FF
//修改 1 :NOP ★
711E4FF0 8B55 FC mov edx,dword ptr ss:[ebp-4]
//修改 2 :NOP ★
711E4FF3 8950 02 mov dword ptr ds:[eax+2],edx
//修改 3 :NOP ★
711E4FF6 8BD0 mov edx,eax
711E4FF8 8B5D E8 mov ebx,dword ptr ss:[ebp-18]
711E4FFB 83C3 06 add ebx,6
711E4FFE 8B45 E0 mov eax,dword ptr ss:[ebp-20]
711E5001 03C0 add eax,eax
711E5003 03D8 add ebx,eax
711E5005 8B45 E8 mov eax,dword ptr ss:[ebp-18]
711E5008 8B00 mov eax,dword ptr ds:[eax]
711E500A 0FB70B movzx ecx,word ptr ds:[ebx]
711E500D 81E9 00300000 sub ecx,3000
711E5013 03C1 add eax,ecx
711E5015 0345 DC add eax,dword ptr ss:[ebp-24]
711E5018 48 dec eax
711E5019 2BD0 sub edx,eax
711E501B 83EA 04 sub edx,4
711E501E 8910 mov dword ptr ds:[eax],edx
//修改 4 :写入加密地址 NOP掉! ★
711E5020 E9 68010000 jmp 711E518D
711E5025 E8 EA7DFCFF call 711ACE14
//统一放call 711ACE14里面Patch!★
711E502A 66:C700 FF25 mov word ptr ds:[eax],25FF
//修改 5 :NOP ★
711E502F 8B55 FC mov edx,dword ptr ss:[ebp-4]
//修改 6 :NOP ★
711E5032 8950 02 mov dword ptr ds:[eax+2],edx
//修改 7 :NOP ★
711E5035 8BD0 mov edx,eax
711E5037 8B5D E8 mov ebx,dword ptr ss:[ebp-18]
711E503A 83C3 06 add ebx,6
711E503D 8B45 E0 mov eax,dword ptr ss:[ebp-20]
711E5040 03C0 add eax,eax
711E5042 03D8 add ebx,eax
711E5044 8B45 E8 mov eax,dword ptr ss:[ebp-18]
711E5047 8B00 mov eax,dword ptr ds:[eax]
711E5049 0FB70B movzx ecx,word ptr ds:[ebx]
711E504C 81E9 00300000 sub ecx,3000
711E5052 03C1 add eax,ecx
711E5054 0345 DC add eax,dword ptr ss:[ebp-24]
711E5057 2BD0 sub edx,eax
711E5059 83EA 04 sub edx,4
711E505C 8910 mov dword ptr ds:[eax],edx
//修改 8 :写入加密地址 NOP掉! ★
711E505E E9 2A010000 jmp 711E518D
――――――――――――――――――――――――
2、MOV类型解密
711E5063 8B15 94DD1F71 mov edx,dword ptr ds:[711FDD94]
711E5069 8B12 mov edx,dword ptr ds:[edx]
711E506B 8B4D E4 mov ecx,dword ptr ss:[ebp-1C]
711E506E 8B148A mov edx,dword ptr ds:[edx+ecx*4]
711E5071 80BA 5E030000 0>cmp byte ptr ds:[edx+35E],3
711E5078 0F86 0F010000 jbe 711E518D
711E507E 66:8B13 mov dx,word ptr ds:[ebx]
711E5081 66:81E2 FF00 and dx,0FF
711E5086 66:81FA 8900 cmp dx,89
711E508B 74 13 je short 711E50A0
711E508D 66:8B13 mov dx,word ptr ds:[ebx]
711E5090 66:81E2 FF00 and dx,0FF
711E5095 66:81FA 8B00 cmp dx,8B
711E509A 0F85 ED000000 jnz 711E518D
711E50A0 66:8B03 mov ax,word ptr ds:[ebx]
711E50A3 66:25 00FF and ax,0FF00
711E50A7 66:3D 0005 cmp ax,500
711E50AB 74 4C je short 711E50F9
711E50AD 66:3D 0015 cmp ax,1500
711E50B1 74 46 je short 711E50F9
711E50B3 66:3D 0025 cmp ax,2500
711E50B7 74 40 je short 711E50F9
711E50B9 66:3D 0035 cmp ax,3500
711E50BD 74 3A je short 711E50F9
711E50BF 66:3D 000D cmp ax,0D00
711E50C3 74 34 je short 711E50F9
711E50C5 66:3D 001D cmp ax,1D00
711E50C9 74 2E je short 711E50F9
711E50CB 66:3D 002D cmp ax,2D00
711E50CF 74 28 je short 711E50F9
711E50D1 66:3D 003D cmp ax,3D00
711E50D5 74 22 je short 711E50F9
711E50D7 66:8B03 mov ax,word ptr ds:[ebx]
711E50DA 66:25 00FF and ax,0FF00
711E50DE 66:3D 0080 cmp ax,8000
711E50E2 0F82 A5000000 jb 711E518D
711E50E8 66:8B03 mov ax,word ptr ds:[ebx]
711E50EB 66:25 00FF and ax,0FF00
711E50EF 66:3D 00C0 cmp ax,0C000
711E50F3 0F83 94000000 jnb 711E518D
711E50F9 66:8B03 mov ax,word ptr ds:[ebx]
711E50FC 66:25 FF00 and ax,0FF
711E5100 66:3D 8900 cmp ax,89
711E5104 74 0D je short 711E5113
711E5106 66:8B03 mov ax,word ptr ds:[ebx]
711E5109 66:25 FF00 and ax,0FF
711E510D 66:3D 8B00 cmp ax,8B
711E5111 75 7A jnz short 711E518D
711E5113 E8 FC7CFCFF call 711ACE14
//需要为下面的类型判断一下 ★ 统一放call 711ACE14里面Patch!★
711E5118 66:8B13 mov dx,word ptr ds:[ebx]
711E511B 66:81E2 FF00 and dx,0FF
711E5120 66:81FA 8900 cmp dx,89
711E5125 75 12 jnz short 711E5139
711E5127 66:8B13 mov dx,word ptr ds:[ebx]
711E512A 66:81E2 00FF and dx,0FF00
711E512F 66:81C2 8B00 add dx,8B
711E5134 66:8910 mov word ptr ds:[eax],dx
//修改 9:mov word ptr ds:[ebx],dx ★
//呵呵,替换89->8B
711E5137 EB 10 jmp short 711E5149
711E5139 66:8B13 mov dx,word ptr ds:[ebx]
711E513C 66:81E2 00FF and dx,0FF00
711E5141 66:81C2 8900 add dx,89
711E5146 66:8910 mov word ptr ds:[eax],dx
//修改 10:mov word ptr ds:[ebx],dx ★
//呵呵,替换8B->89
711E5149 8B55 FC mov edx,dword ptr ss:[ebp-4]
711E514C 8950 02 mov dword ptr ds:[eax+2],edx
711E514F 66:C740 06 90E9 mov word ptr ds:[eax+6],0E990
//修改 11:NOP ! ★
711E5155 8BD3 mov edx,ebx
711E5157 2BD0 sub edx,eax
711E5159 83EA 06 sub edx,6
711E515C 8950 08 mov dword ptr ds:[eax+8],edx
711E515F 8BD0 mov edx,eax
711E5161 66:C703 90E9 mov word ptr ds:[ebx],0E990
//修改 12:NOP ! ★
711E5166 8B5D E8 mov ebx,dword ptr ss:[ebp-18]
711E5169 83C3 06 add ebx,6
711E516C 8B45 E0 mov eax,dword ptr ss:[ebp-20]
711E516F 03C0 add eax,eax
711E5171 03D8 add ebx,eax
711E5173 8B45 E8 mov eax,dword ptr ss:[ebp-18]
711E5176 8B00 mov eax,dword ptr ds:[eax]
711E5178 0FB70B movzx ecx,word ptr ds:[ebx]
711E517B 81E9 00300000 sub ecx,3000
711E5181 03C1 add eax,ecx
711E5183 0345 DC add eax,dword ptr ss:[ebp-24]
711E5186 2BD0 sub edx,eax
711E5188 83EA 04 sub edx,4
711E518B 8910 mov dword ptr ds:[eax],edx
//修改 13:NOP ! ★
711E518D 8B5D E8 mov ebx,dword ptr ss:[ebp-18]
711E5190 83C3 06 add ebx,6
711E5193 8B45 E0 mov eax,dword ptr ss:[ebp-20]
711E5196 03C0 add eax,eax
711E5198 03D8 add ebx,eax
711E519A 66:C703 0000 mov word ptr ds:[ebx],0
711E519F FF4D E0 dec dword ptr ss:[ebp-20]
711E51A2 837D E0 00 cmp dword ptr ss:[ebp-20],0
711E51A6 0F8F B2FDFFFF jg 711E4F5E
//循环
711E51AC 8B45 E8 mov eax,dword ptr ss:[ebp-18]
711E51AF 33D2 xor edx,edx
711E51B1 8910 mov dword ptr ds:[eax],edx
711E51B3 A1 9CDB1F71 mov eax,dword ptr ds:[711FDB9C]
711E51B8 8038 00 cmp byte ptr ds:[eax],0
//比较检验标志位!!
711E51BB 75 0A jnz short 711E51C7
//修改 14:NOP ! ★ 检验失败则这里跳转,则解码不完全!
711E51BD 837D F8 00 cmp dword ptr ss:[ebp-8],0
711E51C1 0F8F 20FDFFFF jg 711E4EE7
//循环
――――――――――――――――――――――――
3、统一放call 711ACE14里面Patch!
711ACE14 53 push ebx
711ACE15 B8 0C000000 mov eax,0C
711ACE1A E8 4D59F7FF call 7112276C
711ACE1F 8BD8 mov ebx,eax
711ACE21 85DB test ebx,ebx
711ACE23 74 38 je short 711ACE5D
711ACE25 A1 68062071 mov eax,dword ptr ds:[71200668]
711ACE2A E8 718DF7FF call 71125BA0
711ACE2F 40 inc eax
711ACE30 50 push eax
711ACE31 B8 68062071 mov eax,71200668
711ACE36 B9 01000000 mov ecx,1
711ACE3B 8B15 10B51A71 mov edx,dword ptr ds:[711AB510]
711ACE41 E8 168FF7FF call 71125D5C
711ACE46 83C4 04 add esp,4
711ACE49 A1 68062071 mov eax,dword ptr ds:[71200668]
711ACE4E E8 4D8DF7FF call 71125BA0
711ACE53 8B15 68062071 mov edx,dword ptr ds:[71200668]
711ACE59 895C82 FC mov dword ptr ds:[edx+eax*4-4],ebx
//Patch :jmp 71236E4D ★
711ACE5D 8BC3 mov eax,ebx
711ACE5F 5B pop ebx
711ACE60 C3 retn
为了防止异常,先在OllyDbg里面设置V220531.epe第2个区段为完整权限
在71236E4D处写入以下patch代码:
71236E4D 895C82 FC mov dword ptr ds:[edx+eax*4-4],ebx
//继续运行711ACE59处代码
71236E51 8BC3 mov eax,ebx
71236E53 5B pop ebx
//下面开始判断、修改
71236E54 66:813B 90E8 cmp word ptr ds:[ebx],0E890
//比较代码类型
71236E59 75 0D jnz short 71236E68
71236E5B 66:C703 FF15 mov word ptr ds:[ebx],15FF
//是0E890就放入15FF
71236E60 8B55 FC mov edx,dword ptr ss:[ebp-4]
71236E63 8953 02 mov dword ptr ds:[ebx+2],edx
71236E66 EB 15 jmp short 71236E7D
71236E68 803B 89 cmp byte ptr ds:[ebx],89
//89 ?
71236E6B 74 10 je short 71236E7D
//是则不处理
71236E6D 803B 8B cmp byte ptr ds:[ebx],8B
//8B ?
71236E70 74 0B je short 71236E7D
//是则不处理
71236E72 66:C703 FF25 mov word ptr ds:[ebx],25FF
//不是以上的就放入25FF
71236E77 8B55 FC mov edx,dword ptr ss:[ebp-4]
71236E7A 8953 02 mov dword ptr ds:[ebx+2],edx
//放入地址
71236E7D C3 retn
//OK,返回
OllyDbg二进制代码如下:
89 5C 82 FC 8B C3 5B 66 81 3B 90 E8 75 0D 66 C7 03 FF 15 8B 55 FC 89 53 02 EB 15 80 3B 89 74 10
80 3B 8B 74 0B 66 C7 03 FF 25 8B 55 FC 89 53 02 C3
―――――――――――――――――――――――――――――――――
六、结局:完成脱壳
修改晚以上所有部分后,在循环外面的711E51C7处设置硬件执行断点。
711E51C7 33C0 xor eax,eax
//这里下硬件断点,Shift+F9中断后所有解码完毕 ★
711E51C9 8945 C8 mov dword ptr ss:[ebp-38],eax
711E51CC 33C0 xor eax,eax
711E51CE 8945 CC mov dword ptr ss:[ebp-34],eax
711E51D1 8B55 D4 mov edx,dword ptr ss:[ebp-2C]
711E51D4 8B45 D8 mov eax,dword ptr ss:[ebp-28]
711E51D7 E8 B0D5F3FF call 7112278C
711E51DC A1 9CDB1F71 mov eax,dword ptr ds:[711FDB9C]
711E51E1 8038 00 cmp byte ptr ds:[eax],0
711E51E4 74 05 je short 711E51EB
711E51E6 E8 3D75F4FF call 7112C728
711E51EB A1 CCDC1F71 mov eax,dword ptr ds:[711FDCCC]
711E51F0 8038 00 cmp byte ptr ds:[eax],0
711E51F3 74 17 je short 711E520C
711E51F5 E8 01000000 call 711E51FB
711E51FA E9 5883C012 jmp 83DED557
711E51FF 35 FFFFFFFF xor eax,FFFFFFFF
711E5204 60 pushad
711E5205 E8 7E73FCFF call 711AC588
711E520A FF15 E8010000 call dword ptr ds:[1E8]
711E5210 00E9 add cl,ch
711E5212 58 pop eax
711E5213 83C0 0C add eax,0C
711E5216 60 pushad
711E5217 E8 9072FCFF call 711AC4AC
记事本没有SDK,不需要处理SDK代码部分。OK,可以用LordPE完全Dump出这个进程了。用第三步获得到的输入表直接修复就行了,若想做的好点,可以把代码段替换进第二步得到的dumped0.eXe再修复,这样就不必清除壳数据了。
一点题外话:当初看EncryptPE断断续续用了好几天,脱壳需要毅力和耐心,万事皆如此吧。
―――――――――――――――――――――――――――――――――
, _/
/| _.-~/ \_ , 青春都一晌
( /~ / \~-._ |\
`\\ _/ \ ~\ ) 忍把浮名
_-~~~-.) )__/;;,. \_ //'
/'_,\ --~ \ ~~~- ,;;\___( (.-~~~-. 换了脱壳轻狂
`~ _( ,_..--\ ( ,;'' / ~-- /._`\
/~~//' /' `~\ ) /--.._, )_ `~
" `~" " `" /~'`\ `\\~~\
" " "~' ""
UnPacKed By : fly
2005-05-15 20:00
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课