【Target】: AsLoad (c) 2003 by GlObAl & [NtSC]
简介:作用解决试用日期限制注册,对 ASProtect v1.2 试用日期限制的有效,readme中说可以high点,我没有试
【小注】:想了解一下Loader,找到了这个;这个壳我未玩过,不等于这个壳很先进,但它的处理方式有些哈哈!这个可能是私人壳或者是一些壳的早期版本。。。有人知道可以通知我。。。呵呵
PEid 没检到什么,它的输入表 就只有那么一个API GetModuleHandleA,一定有动作的。。。
开头你不能用 Esp 定律
开头你不能用硬件断点,被它占用作小解码,占用很长的一段非法指令时间,全跟要吐血的...
开头用 int3 断点要小心噢,在 se 入口处下断要当心;
API断点要小心下到准确无误的地址。
bp GetProcAddress
bp GetModuleHandleA
bp LoadLibraryA
这样你会死得很惨,它并不检你是否有bp api,由于它做惯“小偷”,你不能这样去下断,否则自食其果!
bp api + some offset 就可以了,offset 要定位准确噢!
用OD调试,你无需隐藏调试器标志,它不检这个!
废话连篇,动手呀。。。
我用的是自己的 DIY 版 OD,在 XP 下调试。。。
OD设置忽略所有异常,全部打勾。。。
bp LoadLibraryA +9
00401A82 pushad // 停在入口
00401A83 call 00401A88 ; AsLoad.00401A88
00401A88 pop ebp
00401A89 sub ebp,4078BB
00401A8F pushad
00401A90 xor eax,eax
00401A92 call 00401B8B ; AsLoad.00401B8B
Shift + F9
中断后堆栈报告如下:
0012FF6C 00404BEC ASLOAD.00404BEC
0012FF70 00401FA9 ASLOAD.00401FA9
0012FF74 003705B4 返回到 003705B4 // Ctrl + G 此地址下断,Shift + F9
0012FF78 003705A3 返回到 003705A3 来自 003705AE
// 下面组织得比较乱。。。
// call 370020 是解密数据
// 特殊的 api 被壳 Hook 和 Stolen了,并加入了花花,而且很铺张地每个用上 64 K内存 -> 即10000h
// 壳会动态解码后运行完又加密,小花样,加密解密都用同一个 call 00371147
00370556 push 4
00370558 push 1000
0037055D mov eax,dword ptr ss:[ebp+409533]
00370563 add eax,10000 ; UNICODE "=::=::\"
00370568 push eax
00370569 push 0
0037056B call dword ptr ss:[ebp+4096AF] //[ebp+4096AF] = 390000 实际是 kernel32.VirtualAlloc 最后 jmp 77E5981B
00370585 call 00371147 // 公用的 加密/解码 Call -> 不可轻易F8
0037058A popad
0037058B pushad
0037058C lea eax,dword ptr ss:[ebp+408378]
00370592 mov ecx,47
00370597 call 00371147
0037059C popad
0037059D pushad
0037059E call 003705AE
003705AE call dword ptr ss:[ebp+409553] //[ebp+409553] = 3B0000 实际是 LoadLibraryA
003705B4 mov dword ptr ss:[ebp+409547],eax
003705BA call 003705CB
003705BF dec ebp
003705C0 jnb short 00370636
003705CB push eax // 模块入口
003705CC call dword ptr ss:[ebp+40954F] // [ebp+40954F] = 003D0000 实际是GetProcAddress
003705D2 pushad
003705D3 lea eax,dword ptr ss:[ebp+408378]
003705D9 mov ecx,47
003705DE call 00371147 //加密壳代码
003705E4 cmp dword ptr ss:[ebp+4097E7],1 // ??
003705EB jnz 00370721
003705F1 mov dword ptr ss:[ebp+40954B],eax
003705F7 mov eax,dword ptr ss:[ebp+40954B]
003705FD lea edi,dword ptr ss:[ebp+40954B]
00370603 call 003711CB
// 块解码好像会比较块数据开头是否为 "JC"
00370784 >popad
00370785 >xchg eax,ecx
00370786 >cmp dword ptr ss:[ebp+4096A7],0
0037078D >je short 003707A1
0037078F >mov edi,dword ptr ss:[ebp+4096A7]
00370795 >add edi,dword ptr ss:[ebp+4097DF]
0037079B >mov ecx,dword ptr ss:[ebp+4096AB]
003707A1 >rep movs byte ptr es:[edi],byte ptr ds:[esi] 迁回解码后的Code节 401000
003707A3 >pushad
003707A4 >mov ecx,30
003707A9 >lea eax,dword ptr ss:[ebp+408560]
003707AF >call 00371147
003708B1 popad
003708B2 push 4
003708B4 push 1000
003708B9 push 10000 ; UNICODE "=::=::\"
003708BE push 0
003708C0 call dword ptr ss:[ebp+4096AF] // 申请空间
003708C6 xchg eax,edi
003708C7 call 00371110
003708CC pushad
003708CD xchg eax,esi
003708CE mov ecx,11380
003708D3 mov eax,F6305196
003708D8 xor byte ptr ds:[esi+ecx],al
003708DB rol eax,cl
003708DD xor eax,ecx
003708DF loopd short 003708D8
003708E1 popad
003708E2 add eax,800
003708E7 push edi
003708E8 push edi
003708E9 push eax
003708EA call 00370020 // 过了这个Call 可以看到 edi 地址是 API 信息
003708EF pushad
003708F0 mov ecx,4F
003708F5 lea eax,dword ptr ss:[ebp+40868D]
003708FB call 00371147 //加密
00370949 test eax,80000000
0037094E jnz short 00370986
00370950 push edi
00370951 push edi
00370952 push dword ptr ss:[ebp+409517]
00370958 call dword ptr ss:[ebp+40954F]
0037095E mov dword ptr ds:[ebx],eax
00370960 pushad
00370961 cmp dword ptr ss:[ebp+40969F],1 // 是否需要加密 API ?当然不加密,[ebp+40969F] -> set zero ★★★
00370968 jnz short 00370971
0037096A xchg edi,ebx
0037096C call 00370B9A
00370971 popad
00370D62 pop dword ptr fs:[0] // se 出口,下面是 Iat 处理
00370D68 add esp,4
00370D6B pushad
00370D90 lods dword ptr ds:[esi] // 不用加密的处理?
00370D91 and dword ptr ds:[esi-4],0
00370D95 or eax,eax
00370D97 je short 00370DB7
00370D99 xchg eax,ebx
00370D9A add ebx,dword ptr ss:[ebp+4097DF]
00370DA0 lods dword ptr ds:[esi]
00370DA1 and dword ptr ds:[esi-4],0
00370DA5 add eax,dword ptr ss:[ebp+4097DF]
00370DAB add eax,dword ptr ss:[ebp+4096D3]
00370DB1 mov ebx,dword ptr ds:[ebx]
00370DB3 mov dword ptr ds:[eax],ebx
00370DB5 jmp short 00370D90
00370DDD lods dword ptr ds:[esi] // FF25 Jmp [] 加密的处理,这里壳处理成Jmp api地址偏移量,即:E9 + offset 的5字节跳转形式
00370DDE and dword ptr ds:[esi-4],0
00370DE2 or eax,eax
00370DE4 je short 00370E09
00370DE6 xchg eax,ebx
00370DE7 add ebx,dword ptr ss:[ebp+4097DF]
00370DED lods dword ptr ds:[esi]
00370DEE and dword ptr ds:[esi-4],0
00370DF2 add eax,dword ptr ss:[ebp+4097DF]
00370DF8 add eax,dword ptr ss:[ebp+4096D3]
00370DFE mov ebx,dword ptr ds:[ebx]
00370E00 sub ebx,eax
00370E02 sub ebx,4
00370E05 mov dword ptr ds:[eax],ebx
00370E07 jmp short 00370DDD
00370E2F lods dword ptr ds:[esi] // FF15 Call [] 加密的处理 ? 我这里没有这情况。。。
00370E30 and dword ptr ds:[esi-4],0
00370E34 or eax,eax
00370E36 je short 00370E63
00370E38 xchg eax,ebx
00370E39 add ebx,dword ptr ss:[ebp+4097DF]
00370E3F lods dword ptr ds:[esi]
00370E40 and dword ptr ds:[esi-4],0
00370E44 add eax,dword ptr ss:[ebp+4097DF]
00370E4A add eax,dword ptr ss:[ebp+4096D3]
00370E50 mov byte ptr ds:[eax-1],0E8
00370E54 mov ebx,dword ptr ds:[ebx]
00370E56 sub ebx,eax
00370E58 sub ebx,4
00370E5B mov dword ptr ds:[eax],ebx
00370E5D mov byte ptr ds:[eax+4],90
00370E61 jmp short 00370E2F
// 可以改良一下,就能还原正常可识别的 Jmp [] Iat ★★★
00370DEE add eax,dword ptr ss:[ebp+4097DF]
00370DF4 add eax,dword ptr ss:[ebp+4096D3]
00370DFA inc eax
00370DFB mov dword ptr ds:[eax],ebx
00370DFD dec eax
00370DFE dec eax
00370DFF mov word ptr ds:[eax],25FF
00370E04 nop
00370E05 nop
00370E06 nop
00370E07 jmp short 00370DDD
03 85 DF 97 40 00 03 85 D3 96 40 00 40 89 18 48 48 66 C7 00 FF 25 90 90 90
// StolenCode 形式为 5 字节长度,呵呵比较简单,可以完全还原。。。
// 下面过程是壳查表修复,因为壳是动态申请 Stolen 地址的。。。所以它要做这个工作
00370E88 lods dword ptr ds:[esi] // 处理 StolenCode
00370E89 or eax,eax
00370E8B je short 00370ED3
00370E8D mov ebx,eax
00370E8F lods dword ptr ds:[esi]
00370E90 add eax,ebx
00370E92 add eax,dword ptr ss:[ebp+4097DF]
00370E98 add eax,dword ptr ss:[ebp+4096D3]
00370E9E add eax,5
00370EA1 cmp dword ptr ds:[esi+4],1 // 是否需要修正?
00370EA5 jnz short 00370EC5
00370EA7 cmp dword ptr ds:[eax],5355434B // 是否吻合要处理偏移位置的特征码?
00370EAD je short 00370EB2
00370EAF inc eax
00370EB0 jmp short 00370EA7
00370EB2 add esi,8
00370EB5 push esi
00370EB6 push eax
00370EB7 dec eax
00370EB8 sub eax,esi
00370EBA neg eax
00370EBC mov esi,eax
00370EBE pop eax
00370EBF sub esi,5
00370EC2 mov dword ptr ds:[eax],esi
00370EC4 pop esi
00370EC5 inc esi
00370EC6 cmp dword ptr ds:[esi],58585858 // 这里全是这种模式,是 StolenCode 标志?
00370ECC jnz short 00370EC5
00370ECE add esi,4
00370ED1 jmp short 00370E88
57 48 8B F8 33 C9 B1 05 F3 A4 5F 90 90 90
// 顺便补丁还原代码:
00370EB5 push esi
00370EB6 push edi // ★★★
00370EB7 dec eax
00370EB8 mov edi,eax
00370EBA xor ecx,ecx
00370EBC mov cl,5
00370EBE rep movs byte ptr es:[edi],byte ptr ds:[esi]
00370EC0 pop edi
00370EC1 nop
00370EC2 nop
00370EC3 nop // ★★★
00370EC4 pop esi
00370EC5 inc esi
003710D5 stos dword ptr es:[edi]
003710D6 popad
003710D7 mov dword ptr ss:[esp+1C],edi
003710DB popad
003710DC jmp eax // 前往 OEP 处理的花样 00AA0000
003710DE popad
003710DF retn
// 里面有很多花花,可以用 Esp 定律找 Stolen Code,也可以根据堆栈 “我猜我猜我猜猜猜”
00AA0000 push 401CDD //★★★
00AA0005 neg esi
00AA0008 cmp edi,edi
00AA000A shld edi,eax,cl
00AA08E9 push dword ptr fs:[0] //★★★
00AA08EF mov esi,AB3919AB
00AA08F5 inc esi
00AA08F7 ror esi,3E
00AA11E6 mov dword ptr fs:[0],esp //★★★
00AA11EC not esi
00AA11EE test esi,8BBE848D
00AA11F4 imul edi,esi,1DC84EAC
00AA1AEB mov ecx,edi
00AA1AED and edi,FFFF0000
00AA1AF3 sub ecx,edi
00AA1AF5 rep stos byte ptr es:[edi] // 移“花”植“草”
00AA1AF7 popad
00AA1AF8 popfd
00AA1AF9 push 401011 // 压入伪 OEP
00AA1AFE retn
// 当 eip 等于 401011 时堆栈的情况,明显是安装了 seh 401CDD
0012FFBC 0012FFE0 指针到下一个 SEH 记录
0012FFC0 00401CDD SE 句柄
0012FFC4 77E5EB69 返回到 kernel32.77E5EB69
// OEP定为 401000 吧,上面找到的长度要大,套不了,作如下修复刚好用完 00 字节
00401000 >push 401CDD
00401005 >xor eax,eax
00401007 >push dword ptr fs:[eax]
0040100A >mov dword ptr fs:[0],esp
哈哈,这次脱壳后又使我再次从壳盲的人群中挤了出来!
另外,我很想知道很多早期的壳在98下检测出OD调试器来,是怎么做的?
00401C05 and eax,FFFF0000
00401C0A mov dword ptr ss:[ebp+4097DF],eax
00401C10 mov eax,dword ptr ss:[ebp+407889]
00401C16 and eax,FFFF0000
00401C1B cmp word ptr ds:[eax],5A4D //到达这里的指令, 很明显是只适用 NT 的获取模块基址的方式,好像不适用 98
00401C20 je short 00401C29 ; ASLOAD.00401C29
00401C22 sub eax,10000
00401C27 jmp short 00401C1B ; ASLOAD.00401C1B
00401C29 mov dword ptr ss:[ebp+409543],eax
00401C2F mov dword ptr ss:[ebp+40952B],eax
Written by askformore
06.01.2005
Andy Law Advertising: 想要...就系你既...
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!