首页
社区
课程
招聘
[原创]还原精灵6.1主程序脱壳
发表于: 2011-11-16 16:49 7909

[原创]还原精灵6.1主程序脱壳

2011-11-16 16:49
7909

在调试还原精灵6.1还原驱动时发现总是无法在Windbg里面进行单步调试,很奇怪,看那一下驱动,跟驱动没有关系,通过跟踪发现在其应用程序启动后,无法单步调试,HDDGMon.EXE,这个其主核心应用程序加那Anti-Debug调试功能,首先使用PEID查看其是否加壳,如下图所示:

图1
这是一个老牌的壳,这里采取两次内存断点方法,所谓两次内存断点法的原理是:外壳会依次对.text、.rdata、.data、.rsrc的区块进行解压、密处理,因此先对.rsrc块下一个F2内存访问断点(这个断点在访问后会自动删除),在此之前,我shilft+F9发现改程序会经常跳入到异常处理机制ZwRaiseException,并且看到应为如下代码:div edi、div dx这些发生异常的指令,这说明这个壳通过大量的异常指令来干扰我们进行单步调试,因此在ollydbg中忽略所有异常,shiflt+F9运行,会跳到如下位置:
004FA0A9            F3:A5            rep movs dword ptr es:[edi],dword ptr ds:[esi]
004FA0AB            8BCB            mov ecx,ebx
004FA0AD            F3:A4            rep movs byte ptr es:[edi],byte ptr ds:[esi]
004FA0AF            8BF2             mov esi,edx
004FA0B1            8B7C24 28         mov edi,dword ptr ss:[esp+28]
esi指向资源块,edi指向外壳的区块,估计处理完rsrc后就会执行代码段,因此对.text下F2内存断点,shilft+F9运行,跳到如下位置:
00448FA4            55                    push ebp
00448FA5            8BEC                 mov ebp,esp
00448FA7            6A FF                 push -1
00448FA9            68 606C4500           push HDDGMon.00456C60
00448FAE            68 0E914400           push HDDGMon.0044910E               
; jmp to msvcrt._except_handler3
00448FB3            64:A1 00000000         mov eax,dword ptr fs:[0]
00448FB9            50                    push eax
00448FBA            64:8925 00000000       mov dword ptr fs:[0],esp
00448FC1            83EC 68               sub esp,68
00448FC4            53                    push ebx
00448FC5            56                    push esi
00448FC6            57                    push edi
从上面得知0x00448FA4就是其OEP。下面是对输入表进行修复,首先我们看一下其IAT,部分的输入表被隐藏在外壳里,如下图2所示:

图2
下面是通过0xAA0000最终定位到如图3的地址,也就是真正的API地址,这里我采取编写脚本来替换它,这个可以参考(http://bbs.pediy.com/showthread.php?p=903627)

图3

这里有两种情况,一是inc eax,一是 nop,所以分情况写 ,下面是脚本的代码(本人对脚本还是不大熟悉,写的比较挫)如下:
var iatstart
var iatend
var temp
var lkpd

mov iatstart,00450b28
mov iatend,00450cf4

labl:
    mov temp,[iatstart]
    log temp
   
    cmp temp,0
    je next
   
    find temp,#FF30C3#    //找到这个FF30C3就是PUSH DWORD PTR DS:[EAX]   RETN
    mov temp,$RESULT     //找到上面指令的首要地址

    mov lkpd,temp
    sub temp,5
    mov temp,[temp]

    sub lkpd,1
    mov lkpd,[lkpd]
   
    cmp lkpd,C330FF40
    je ok

labk:
    mov temp,[temp]
    log temp
    mov [iatstart],temp
   
   
next:
   add iatstart,4
   cmp iatstart,iatend
   jbe labl
   jmp end

error:
    msg "错误"

ok:
    add temp,1
    jmp labk

end:
    ret
再次用peid打开,发现是vc++6.0写的,如下图4:

图4
可直接运行,但是发现其脱壳后的大小比用工具脱的要大一些,后面才发现有工具可以直接脱,反正就当自己学习一下,下面覆盖原来的文件,进行内核调试,去掉壳之后,可以进行单步调试,看样子,所有的anti-debug都在壳里,脱掉之后,再无干扰,还原精灵还是一款不错的软件,其修改MBR,主引导记录,先启动自己代码,进行一系列操作之后,在从12扇区取出保存的原有MBR;还有其竟有多点还原的功能,虽然只有5个,但是其是2005年的产品,可见当时其编程功力的深厚,值得我近一步的研究学习,随文附上未脱壳及脱壳后的主程序,安装文件自己去下一个,有点大,传不上来!
还原精灵6.1主程序.rar


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (4)
雪    币: 203
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
顶...............
2011-11-25 20:54
0
雪    币: 222
活跃值: (1865)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
看得出楼主功底浓厚扎实,脱文言简意赅,佩服。
2011-12-1 19:14
0
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4


虚心潜水学习,希望有一天 出水,你们全在我后面。。。
2011-12-2 21:00
0
雪    币: 615
活跃值: (580)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
只能看懂5%。。。。。
2011-12-2 21:08
0
游客
登录 | 注册 方可回帖
返回
//