首页
社区
课程
招聘
一个壳的Stolen还原判断编写(想法还没完善),望指点[讨论]
发表于: 2005-6-9 16:46 10387

一个壳的Stolen还原判断编写(想法还没完善),望指点[讨论]

2005-6-9 16:46
10387

Arm壳的 StolenCode ,很有规律,想试手编程,OD的纯脚本运行会慢得很惊人,至少在我的慢机很常见

我的 Dll Delphi源码 还没完成的。。。,只做了一部分,小测试过一下,不是很好

贴上来:

先附用 OllyMachines 记录数据的脚本
// 一个字,“乱”
// Arm 的StolenCode 记录数据脚本
__asm
{
pushfd
pushad
push 40
push 1000
push 20000
push 0
call KERNEL32.VirtualAlloc
}

cmp eax, 0
je verr
mov reg11, eax   // dwOpLenTab 的值
mov reg15, eax
invoke logtext, "★★★★★ 成功申请下面的空间地址:"
invoke loglong, reg11
invoke GotoDumpAddr, reg11

__asm
{
popad
popfd
}

add reg15, 0x10000   // 划分一个空间给 记录 dwLogAddressTab 值的表
mov reg10, 0x587000  // StolenCode 节首地址 dwStolenCodeSection 的值
mov reg00, reg10

mov reg12, 0
mov reg13, 0
mov reg14, reg11
invoke GotoDumpAddr, reg11

loop:
cmp reg10, 0x596FC2  // 此处是比较 StolenCode 块的结束地址
je end

mov reg16, reg10
invoke ReadMemLong, reg16, 1
cmp reg00, 0xE9
jne skip
inc reg16
invoke ReadMemLong, reg16, 4
cmp reg00, 0
je skip
dec reg16
mov reg18, reg00
invoke WriteMemLong, reg15, reg16, 4
add reg15, 4
add reg16, 5
add reg16, reg18  // 取得返回地址

checking:
invoke GetPrevOpAddr, reg16, 1  // 逆向扫描返回地址
mov reg16, reg00
invoke ReadMemLong, reg16, 1
cmp reg00, 0xE9
jne checking                    // 直到找到JMP指令
invoke WriteMemLong, reg15, reg16, 4
add reg15, 4

skip:
invoke GetNextOpAddr, reg10, 1
mov reg12, reg00
sub reg12, reg10
mov reg10, reg00
invoke WriteMemLong, reg11, reg12, 1
inc reg11
inc reg13
jmp loop

end:
invoke LogText, "☆☆☆☆☆记录指令数量为:"
invoke LogLong, reg13
invoke DumpMem, reg14, 0x20000, "OpLen_Tab.bin"
invoke msg, "Well Done!"
halt

verr:
__asm
{
popad
popfd
}
invoke msg, "发生一个申请内存的错误!"
halt

///////////////////////////////////////////////////////

library RestoreStolen;

uses
  SysUtils,
  Windows,
  Classes;
  
{$R *.RES}
// 小弟感觉这是自己真正的编程的头一次开始,所以写得很烂...
// 变量定义得比较奢侈,牛哥们可以指点指点..., 有值得优化的地方指点指点
// Nop 垃圾指令还在测试中,所以还缺一个移动还原动作的代码。。。
Type
  Tpackvar = record
      PatchAddr    :^Dword; // 这个正式还原时用,暂未用
      LenTab       :Dword;  // 指令长度表起始地址
      Sbegin       :Dword;  // 一个小的 StolenCode 块的起始地址
      Send         :Dword;  // 一个小的 StolenCode 块的结束地址
      pNextAddr    :^Dword; // 指向第 n 个块表的指针
      count        :Dword;  // 作临时计算地址过渡用
      len          :Byte;   // 保存取指令长度表一个索引指向的size
      abyte        :Byte;   // 临时用的字节保存变量
      aword        :Word;   // 作用同上(字),可能会用上
      adword       :Dword;  // 作用同上(双字),可能会用上
      pLen         :^Byte;  // 全局用的指令长度表指针变量
      pbyte        :^Byte;  // 单个 StolenCode 块的指针变量
      tbyte        :^Byte; // pbyte 某位置的临时保存
      cbyte        :^Byte; // pbyte 某位置的临时保存
      pword        :^Word; // 作保存,需要时取用
      tword        :^Word; // 作用同上
      cword        :^Word;
      pdword       :^Dword; // 作保存,需要时取用
      tdword       :^Dword; // 作用同上
      cdword       :^Dword;
      temp         :Pointer; // 保存指针变量,作取用
      i            : integer; // 这个没有用上,以后不知是否会用
  end;

procedure Checkdust2(myvar: Tpackvar);// 2字节的公用调用检测是否配对 的过程
begin
  myvar.tword  :=  Pointer(myvar.pLen) ; //取当前指令长度表指针
  myvar.tbyte  :=  Pointer(myvar.pLen) ;
  myvar.cword  :=  myvar.temp ;

  While Dword( myvar.cword ) <  myvar.Send  do
    begin
      inc (myvar.tbyte );
      myvar.abyte  :=  myvar.tbyte^ ;
      myvar.count  :=  Dword( myvar.cword ) + myvar.abyte  ;
      myvar.cword  :=  Pointer( myvar.count );
      if ( myvar.abyte =2 ) and ( myvar.pword^ = myvar.cword^ )then
        begin
          myvar.pword^  := $9090 ;
          myvar.cword^  := $9090 ;
          break;
        end;
    end;
end;

Function RestoreStolenCode( dwOpLenTab, dwLogAddressTab, dwStolenCodeSection: Dword ) : boolean ; stdcall ;
var
handle: Thandle;
myvar : Tpackvar;
flag  : boolean;

begin
flag   := false ;
Result := True ;

try

begin

// 下面初始化
myvar.pNextAddr   := Pointer( dwLogAddressTab ) ;
myvar.Sbegin     := dwStolenCodeSection ;
myvar.LenTab     := dwOpLenTab ;
myvar.count      := 0;
myvar.pLen       := Pointer( myvar.LenTab ) ;

// 大循环开始
{
While myvar.pLen^ <> 0 do  // 外循环,若中间只存在 Nop 指令的成对 push pop 处理
begin
myvar.Sbegin    := myvar.pNextAddr ;
myvar.tdword    := Pointer( myvar.patchaddr );
}

While myvar.pNextAddr^ <> 0 do  // 中循环,找出壳的某个 StolenCode 块的范围
begin
myvar.len     := myvar.pLen^;
myvar.pbyte   := Pointer( myvar.Sbegin );
myvar.Send    := myvar.pNextAddr^ ;    // 传送表项的块结束地址

While Dword( myvar.pbyte ) <  myvar.Send  do  // 内块循环:相邻的垃圾指令 Nop 掉
begin
myvar.Len     := myvar.pLen^ ;
myvar.temp    := myvar.pbyte ;
myvar.pword   := myvar.temp ;
myvar.pdword  := myvar.temp ;

Case myvar.len of
     1:
       begin
         if myvar.pbyte^ in [ $91..$97 ] then  //如果是32位寄存器 xchg  指令,就查找是否有成对,有则 Nop 掉
            begin
              myvar.tbyte := Pointer(myvar.pLen) ;        //取当前指令长度表指针
              myvar.cbyte := myvar.temp ;

              While Dword( myvar.cbyte ) < myvar.Send  do
                begin
                  inc ( myvar.tbyte );
                  myvar.abyte  :=  myvar.tbyte^ ;
                  myvar.count  :=  Dword( myvar.cbyte ) + myvar.abyte  ; //  下一个指令地址 = 本指令地址+ 指令长度
                  myvar.cbyte  :=  Pointer( myvar.count );
                  if ( myvar.abyte =1 ) and ( myvar.pbyte^ = myvar.cbyte^ )then
                     begin
                       myvar.pbyte^  := $90 ;
                       myvar.cbyte^  := $90 ;
                       break;
                     end;
                end;
            end;  // 32位寄存器 xchg  指令判断结束
            
         if myvar.pbyte^ in [ $50..$57 ] then  // 如果是相邻的Push Pop 32位寄存器指令,就 Nop 掉
            begin
              myvar.abyte := myvar.pbyte^;
              inc(myvar.pbyte);
              if (myvar.pbyte^ - 8) = myvar.abyte  then
                  myvar.pword^ := $9090 ;
            end;    // Push Pop  判断结束
       end;
      
     2:
       begin             // 两字节的垃圾代码有很多

         case  myvar.pbyte^ of

             $0F:          // 是否32位寄存器的 bswap 指令,是则查找它有否配对,有则 Nop
                 begin
                     inc( myvar.pbyte);
                     if myvar.pbyte^ in [$C8..$CF] then
                        CheckDust2(myvar);
                 end;

             $66:
                 begin
                     inc( myvar.pbyte);
                     if myvar.pbyte^ = $90 then  // 特殊情况的 Nop 指令
                        myvar.pword^ := $9090 ;
                     if myvar.pbyte^ in [$91..$97] then  // xchg 16位寄存器
                        CheckDust2(myvar);
                        
                 end;

$70..$7F,$EB,$E3:
                 begin     // 零距离的 Jmp 类指令
                     myvar.cbyte  :=  myvar.temp ;
                     inc( myvar.pbyte);
                     case myvar.pbyte^ of
                         0:
                           begin
                             myvar.pword^ := $9090 ;  // 不是则只 Nop 本条指令
                           end;
                         2:
                           begin
                             inc( myvar.pbyte );
                             if myvar.pbyte^ = myvar.cbyte^ then //是否同类的垃圾Short jmp
                                myvar.pdword^ := $90909090 ;
                           end;
                 end;       // 零距离的 Jmp 类指令处理结束
                 
             $87:
                  begin
                     inc( myvar.pbyte);
                     
                     if myvar.pbyte^ in [$C0, $C9,$D2,$DB,$E4,$ED,$F6,$FF] then // xchg 相同寄存器 ecx..edi
                        myvar.pword^ := $9090
                     else
                     begin
                        if myvar.pbyte^ in [$C1..$C8,$CA..$CF,$D0..$DA,$DC..$DF,$E0..$E3,$E5..$EF,$F0..$F5,$F7..$FE] then
                           CheckDust2(myvar);    // 检测是否有成对
                     end;
                  end;

             $8B:
                 begin
                     inc( myvar.pbyte );
                     if myvar.pbyte^ in [$C0,$C9,$D2,$DB,$E4,$ED,$F6,$FF] then  // mov 同等32位寄存器,如:mov eax,eax
                        myvar.pword^ := $9090 ;
                 end;

             $F7:
                  begin
                     inc( myvar.pbyte );
                     if myvar.pbyte^ in [ $D0..$D7 ] then // not 32位寄存器,是否有成对
                        CheckDust2(myvar);
                  end;
          end;  // case of 两字节处理块结束
       end;              // 两字节处理 End
      
     3:             // 三字节的垃圾代码也有,这个会有很多
       begin
          case  myvar.pbyte^ of
           $66:
               begin
                 inc( myvar.pbyte );
                 if myvar.pbyte^ = $87 then
                   begin
                     inc( myvar.pbyte );
                     if myvar.pbyte^ in [ $F1..$F3,$F9..$FB ]then
                        begin
                          myvar.pword^ := $9090 ;
                          myvar.pbyte^ := $90 ;
                        end
                   end;
               end;
          $67:
              begin
              myvar.count :=  dword( myvar.pbyte ) ;
              inc( myvar.count ) ;
              myvar.pword := Pointer( myvar.count ) ;
              if myvar.pword^ = $E300 then
                 begin
                   myvar.pbyte^ := $90 ;
                   myvar.pword^ := $9090 ;
                 end;
              end;
          end;
       end;

  5:
  begin

    if myvar.pbyte^ = $0E9 then    //  是否绝对偏移跳转

      begin
        myvar.tbyte  := myvar.temp ;
        inc( myvar.tbyte );
        myvar.pdword := Pointer( myvar.tbyte );
        
        if myvar.pdword^ = 0 then    // 是否为垃圾跳转,是则填充nop
           begin
              myvar.pbyte^   := $90 ;
              myvar.pdword^  := $90909090 ;
           end;
      end;

  end;
end; // case of End

myvar.count  := Dword( myvar.temp ) + myvar.pLen^ ;
myvar.pbyte  := Pointer( myvar.count  ) ;  // 同步移动到下一条指令的地址
inc( myvar.pLen );                       // 指令长度表+1,指向下一条指令的长度

end; // While 内

inc( myvar.pLen ) ;
myvar.Sbegin := myvar.Send +5 ;
inc( myvar.pNextAddr ) ;
inc( myvar.pNextAddr ) ;
end; // While 中

{
end; // While 外
}
flag := true;
end;

finally
  if not flag then
    begin
    handle := 0 ;
    MessageBoxA(handle, Pchar('可能发生访问异常错误,请重来确定参数可用再试!'), Pchar('异常错误:'), MB_OK);
    Result := false ;
    end;
end;

end;

exports
    RestoreStolenCode ;

begin
end.
///////////////////////////////////////////

贴一下 Arm StolenCode的垃圾特征:

00587000     6A FF                push -1
00587002     66:96                xchg ax,si
00587004     0FC9                 bswap ecx
00587006     0FC9                 bswap ecx
00587008     66:96                xchg ax,si
0058700A     68 B2E45200          push 52E4B2                         ; 入口地址
0058700F   - E9 A1A0E7FF          jmp 004010B5                        ; SWFDECOM.004010B5
00587014     50                   push eax
00587015     64:8925 00000000     mov dword ptr fs:[0],esp
0058701C     51                   push ecx
0058701D     56                   push esi
0058701E     57                   push edi
0058701F     8B7C24 1C            mov edi,dword ptr ss:[esp+1C]
00587023     8BF1                 mov esi,ecx
00587025     87FE                 xchg esi,edi
00587027     87FE                 xchg esi,edi
00587029     8BCF                 mov ecx,edi
0058702B   - E9 92A0E7FF          jmp 004010C2                        ; SWFDECOM.004010C2
00587030     C74424 14 00000000   mov dword ptr ss:[esp+14],0
00587038     F7D1                 not ecx
0058703A     66:92                xchg ax,dx
0058703C     96                   xchg eax,esi
0058703D     96                   xchg eax,esi
0058703E     66:92                xchg ax,dx
00587040     87DB                 xchg ebx,ebx
00587042     F7D1                 not ecx
00587044     C707 08F25400        mov dword ptr ds:[edi],54F208
0058704A   - E9 8DA0E7FF          jmp 004010DC                        ; SWFDECOM.004010DC
0058704F     0FC8                 bswap eax
00587051     78 00                js short 00587053                   ; SWFDECOM.00587053
00587053     0FC8                 bswap eax
00587055     68 94000000          push 94
0058705A   - E9 8DA0E7FF          jmp 004010EC                        ; SWFDECOM.004010EC
0058705F     C64424 14 01         mov byte ptr ss:[esp+14],1
00587064   - E9 98A0E7FF          jmp 00401101                        ; SWFDECOM.00401101
00587069     C706 B8F25400        mov dword ptr ds:[esi],54F2B8
0058706F     89BE 90000000        mov dword ptr ds:[esi+90],edi
00587075   - E9 93A0E7FF          jmp 0040110D                        ; SWFDECOM.0040110D
0058707A     8977 50              mov dword ptr ds:[edi+50],esi
0058707D     8BC7                 mov eax,edi
0058707F     5F                   pop edi
00587080     50                   push eax
00587081     0FCF                 bswap edi
00587083     87FE                 xchg esi,edi
00587085     87FE                 xchg esi,edi
00587087     71 00                jno short 00587089                  ; SWFDECOM.00587089
00587089     0FCF                 bswap edi
0058708B     75 02                jnz short 0058708F                  ; SWFDECOM.0058708F
0058708D     75 41                jnz short 005870D0                  ; SWFDECOM.005870D0
0058708F     58                   pop eax
00587090     5E                   pop esi
00587091     64:890D 00000000     mov dword ptr fs:[0],ecx
00587098   - E9 84A0E7FF          jmp 00401121                        ; SWFDECOM.00401121
0058709D     8B08                 mov ecx,dword ptr ds:[eax]
0058709F     91                   xchg eax,ecx
005870A0     66:87F3              xchg bx,si
005870A3     7C 02                jl short 005870A7                   ; SWFDECOM.005870A7
005870A5     7C 0C                jl short 005870B3                   ; SWFDECOM.005870B3
005870A7     51                   push ecx
005870A8     8BFF                 mov edi,edi
005870AA     59                   pop ecx
005870AB     66:87F3              xchg bx,si
005870AE     91                   xchg eax,ecx
005870AF     8B11                 mov edx,dword ptr ds:[ecx]
005870B1     50                   push eax
005870B2   - E9 F2A1E7FF          jmp 004012A9                        ; SWFDECOM.004012A9
005870B7     8B01                 mov eax,dword ptr ds:[ecx]
005870B9     8B10                 mov edx,dword ptr ds:[eax]
005870BB     51                   push ecx
005870BC     8BC8                 mov ecx,eax
005870BE   - E9 01A2E7FF          jmp 004012C4                        ; SWFDECOM.004012C4
005870C3     6A FF                push -1
005870C5     66:87D1              xchg cx,dx
005870C8     8BC9                 mov ecx,ecx
005870CA     73 02                jnb short 005870CE                  ; SWFDECOM.005870CE
005870CC     73 6C                jnb short 0058713A                  ; SWFDECOM.0058713A
005870CE     66:87D1              xchg cx,dx
005870D1     68 08E85200          push 52E808
005870D6   - E9 FAA1E7FF          jmp 004012D5                        ; SWFDECOM.004012D5
005870DB     50                   push eax
005870DC     64:8925 00000000     mov dword ptr fs:[0],esp
005870E3     51                   push ecx
005870E4     56                   push esi
005870E5     8BF1                 mov esi,ecx
005870E7     66:96                xchg ax,si
005870E9     F7D3                 not ebx
005870EB     66:90                nop
005870ED     F7D3                 not ebx
005870EF     66:96                xchg ax,si
005870F1     57                   push edi
005870F2     897424 08            mov dword ptr ss:[esp+8],esi
005870F6   - E9 E7A1E7FF          jmp 004012E2                        ; SWFDECOM.004012E2

// 当然还有,不全贴了..


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (7)
雪    币: 1223
活跃值: (469)
能力值: (RANK:460 )
在线值:
发帖
回帖
粉丝
2
不错

脚本的确很慢,在我机器的上也是如此
2005-6-10 09:51
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
3
最初由 askformore 发布
Arm壳的 StolenCode ,很有规律,想试手编程,OD的纯脚本运行会慢得很惊人,至少在我的慢机很常见

我的 Dll Delphi源码 还没完成的。。。,只做了一部分,小测试过一下,不是很好


........


加精害我,上面的Delphi源码丢了个 case end,应该是亡中贴错了Project的那个草稿,现在打包个缺“回归”的代码,呵呵应该不难写,因为该是垃圾的都Nop去了

请检验一下有问题不,如果没问题我就打算加“回归代码”
用法在被OD调试的程序先运行脚本,找个小空间call dll完成清Dust
格式不用多说了吧:
push dwStolenCodeSection
push dwLogAddressTab
push dwOpLenTab
call dll
test eax,eax
is true ?

附件:src.rar
2005-6-10 11:23
0
雪    币: 1223
活跃值: (469)
能力值: (RANK:460 )
在线值:
发帖
回帖
粉丝
4
最初由 askformore 发布


加精害我


2005-6-10 12:54
0
雪    币: 1852
活跃值: (504)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
5
这里已经来了好几趟了,总想看完楼主的帖子。
可惜一直看不懂

哎,先坐下再说
2005-6-10 15:57
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
6
顶!有机会慢慢学习
2005-6-10 18:54
0
雪    币: 255
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
学习~~!
2005-6-10 20:59
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
8
Arm_RestoreStolenCode1.0 已经发布(纯粹内部测试)

http://bbs.pediy.com/showthread.php?threadid=14388
2005-6-11 10:44
0
游客
登录 | 注册 方可回帖
返回
//