首页
社区
课程
招聘
ASPROTECT 2.x 脱壳系列(三)
发表于: 2005-10-5 20:41 13968

ASPROTECT 2.x 脱壳系列(三)

2005-10-5 20:41
13968

ASPROTECT 2.x 脱壳系列(三)

【目    标】:BeeIcons 4.02.1
【工    具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F
【任    务】:简单的脱壳
【操作平台】:Windows XP sp2
【作    者】:LOVEBOOM[DFCG][FCG][US]
【相关链接】:自己搜索下
【简要说明】:继上一篇,这次的目标前两篇的又有所不同了.难度稍微大了点。这次来个一气呵成:-)
【详细过程】:

OD设置:忽略除int3之外的其它异常,载入目标:
00401000 >  68 01706100     PUSH    00617001                         ; 壳EP
00401005    E8 01000000     CALL    0040100B

F9运行后中断下来:
0103700B    90              NOP                                     ; 异常中断
0103700C    EB 01           JMP     SHORT 0103700F
0103700E    6966 81 FE47467>IMUL    ESP, DWORD PTR DS:[ESI-7F], 7446>

异常中断在code段下F2断点,然后shift+f9,中断:
0102267D    F3:A5           REP     MOVS DWORD PTR ES:[EDI], DWORD P>; 中断这里 
0102267F    89C1            MOV     ECX, EAX
01022681    83E1 03         AND     ECX, 3
01022684    83C6 03         ADD     ESI, 3
01022687    83C7 03         ADD     EDI, 3
0102268A    F3:A4           REP     MOVS BYTE PTR ES:[EDI], BYTE PTR>

断下后,查找相关命令:
mov [ebp],eax
push 0a

找到一处,在找到的位置下硬件执行断点:
01045F7B    8945 00         MOV     DWORD PTR SS:[EBP], EAX          ; 找到这里,直接在这里下硬件执行断点
01045F7E    6A 0A           PUSH    0A
01045F80    E8 8FCEFEFF     CALL    01032E14
01045F85    8BC8            MOV     ECX, EAX

和上两篇一样,找到相关地址,然后写上相关代码:
___________________________获取CALL 01270000全部地址的修复代码_______________________________

01045F7B   /EB 43           JMP     SHORT 01045FC0                   ; 找到这里,直接在这里下硬件执行断点
01045F7D   |90              NOP
01045F7E   |6A 0A           PUSH    0A
01045F80   |E8 8FCEFEFF     CALL    01032E14
01045F85   |8BC8            MOV     ECX, EAX
01045F87   |038B E4000000   ADD     ECX, DWORD PTR DS:[EBX+E4]
01045F8D   |8BD6            MOV     EDX, ESI
01045F8F   |8BC3            MOV     EAX, EBX
01045F91   |E8 9EE5FFFF     CALL    01044534
01045F96   |FF0C24          DEC     DWORD PTR SS:[ESP]
01045F99   |03B3 E4000000   ADD     ESI, DWORD PTR DS:[EBX+E4]
01045F9F   |833C24 00       CMP     DWORD PTR SS:[ESP], 0
01045FA3  ^|0F87 55FEFFFF   JA      01045DFE
01045FA9   |53              PUSH    EBX                              ; 这里F2断点
01045FAA   |E8 5D000000     CALL    0104600C
01045FAF   |0183 EC000000   ADD     DWORD PTR DS:[EBX+EC], EAX
01045FB5   |B0 01           MOV     AL, 1
01045FB7   |83C4 24         ADD     ESP, 24
01045FBA   |5D              POP     EBP                              ; BeeIcons.0040129D
01045FBB   |5F              POP     EDI
01045FBC   |5E              POP     ESI
01045FBD   |5B              POP     EBX
01045FBE   |C3              RETN
01045FBF   |90              NOP
01045FC0   \53              PUSH    EBX
01045FC1    51              PUSH    ECX
01045FC2    B9 00916400     MOV     ECX, 649100
01045FC7    8339 00         CMP     DWORD PTR DS:[ECX], 0
01045FCA    75 06           JNZ     SHORT 01045FD2
01045FCC    C701 10916400   MOV     DWORD PTR DS:[ECX], 649110       ; 保存相关地址数据的起始地址
01045FD2    8B19            MOV     EBX, DWORD PTR DS:[ECX]
01045FD4    4D              DEC     EBP                              ; BeeIcons.0040129D
01045FD5    892B            MOV     DWORD PTR DS:[EBX], EBP          ; BeeIcons.0040129D
01045FD7    83C3 04         ADD     EBX, 4
01045FDA    8919            MOV     DWORD PTR DS:[ECX], EBX
01045FDC    45              INC     EBP                              ; BeeIcons.0040129D
01045FDD    59              POP     ECX
01045FDE    5B              POP     EBX
01045FDF    8945 00         MOV     DWORD PTR SS:[EBP], EAX
01045FE2  ^ EB 9A           JMP     SHORT 01045F7E

_______________________________END___________________________________________

保存好全部数据后,F9再次发生INT3异常中断:
0103700B    90              NOP                                      ; INT 3异常中断
0103700C    EB 01           JMP     SHORT 0103700F
0103700E    6966 81 FE47467>IMUL    ESP, DWORD PTR DS:[ESI-7F], 7446>
01037015    05 31C040EB     ADD     EAX, EB40C031
0103701A    0231            ADD     DH, BYTE PTR DS:[ECX]
0103701C    C031 DB         SAL     BYTE PTR DS:[ECX], 0DB           ; Shift constant out of range 1..31
0103701F    64:8F03         POP     DWORD PTR FS:[EBX]               ; 0012FF20
01037022    83C4 04         ADD     ESP, 4
01037025    EB 01           JMP     SHORT 01037028
01037027    E8 5F5E5BC3     CALL    C45ECE8B
0103702C    51              PUSH    ECX
0103702D    52              PUSH    EDX
0103702E    53              PUSH    EBX
0103702F    56              PUSH    ESI
01037030    57              PUSH    EDI
01037031    E8 01000000     CALL    01037037
01037036  - E9 5831C031     JMP     32C3A193
0103703B    D2B9 03000000   SAR     BYTE PTR DS:[ECX+3], CL
01037041    BE 8F700301     MOV     ESI, 103708F                     ; ASCII "        \\.\SICE"
01037046    EB 01           JMP     SHORT 01037049
01037048    69AC50 516A0068>IMUL    EBP, DWORD PTR DS:[EAX+EDX*2+680>
01037053    6A 03           PUSH    3
01037055    6A 00           PUSH    0
01037057    6A 01           PUSH    1
01037059    EB 01           JMP     SHORT 0103705C
0103705B    E8 68000000     CALL    010370C8
01037060    8056 E8 A5      ADC     BYTE PTR DS:[ESI-18], 0A5
01037064    E6 FE           OUT     0FE, AL                          ; I/O command
01037066    FF59 5A         CALL    FAR FWORD PTR DS:[ECX+5A]        ; Far call
01037069    40              INC     EAX
0103706A    75 0C           JNZ     SHORT 01037078
0103706C    01D6            ADD     ESI, EDX
0103706E    EB 02           JMP     SHORT 01037072
01037070    CD 20           INT     20
01037072  ^ E2 D2           LOOPD   SHORT 01037046
01037074    31C0            XOR     EAX, EAX
01037076    EB 0D           JMP     SHORT 01037085
01037078    48              DEC     EAX
01037079    50              PUSH    EAX
0103707A    E8 85E6FEFF     CALL    01025704                         ; JMP to kernel32.CloseHandle
0103707F    EB 01           JMP     SHORT 01037082
01037081    0F31            RDTSC
01037083    C040 5F 5E      ROL     BYTE PTR DS:[EAX+5F], 5E         ; Shift constant out of range 1..31
01037087    EB 01           JMP     SHORT 0103708A
01037089    C7              ???                                      ; Unknown command
0103708A    5B              POP     EBX                              ; 0012FF20
0103708B    5A              POP     EDX                              ; 0012FF20
0103708C    59              POP     ECX                              ; 直接在这里下F2断点
0103708D    C3              RETN
0103708E    9A 095C5C2E 5C5>CALL    FAR 535C:2E5C5C09                ; Far call
01037095    49              DEC     ECX
01037096    43              INC     EBX
01037097    45              INC     EBP

在0103708C处下断,shift+f9一次中断,断下后在code段下断,断下后可以看到OEP了:

00569594    55              PUSH    EBP                              ; OEP
00569595    8BEC            MOV     EBP, ESP
00569597    83C4 F0         ADD     ESP, -10

到了OEP处后,像前面的文章一样,找到保存相关地方:

01022544    85C0            TEST    EAX, EAX
01022546 >  74 0A           JE      SHORT 01022552
01022548    FF15 18900401   CALL    DWORD PTR DS:[1049018]                ;这里改成我们自己的代码
0102254E    09C0            OR      EAX, EAX
01022550    74 01           JE      SHORT 01022553
......

012800A0    9D              POPFD
012800A1    5C              POP     ESP
012800A2    FF6424 FC       JMP     DWORD PTR SS:[ESP-4]                ;这里设置硬件断点用于写上我们自己的代码
012800A6    54              PUSH    ESP

因为这个程序里的IAT是部分加密处理过的,所以相对来说处理会麻烦一点,这个要靠自己去想怎么去解决,我的处理方法比较麻烦。可能有更好的方法,我现在还没有想到:-(.再写上一段代码和一段脚本,然后运行脚本就可以了:
________________________-相关代码_________________________________

005695D0   .  60            PUSHAD
005695D1   .  B9 10916400   MOV     ECX, 00649110                    ;  调用call address的位置
005695D6   >  8339 00       CMP     DWORD PTR DS:[ECX], 0
005695D9   .  74 17         JE      SHORT 005695F2
005695DB   .  8B19          MOV     EBX, DWORD PTR DS:[ECX]          ;  ntdll.7C92E64E
005695DD   .- FFE3          JMP     EBX                              ;  跳去执行原call
005695DF   .  66:C703 FF15  MOV     WORD PTR DS:[EBX], 15FF          ;  改写成call [addr]
005695E4   .  8B15 08916400 MOV     EDX, DWORD PTR DS:[649108]       ;  <&comdlg32.ChooseColorA>
005695EA   .  8953 02       MOV     DWORD PTR DS:[EBX+2], EDX        ;  ntdll.KiFastSystemCallRet
005695ED   .  83C1 04       ADD     ECX, 4
005695F0   .^ EB E4         JMP     SHORT 005695D6
005695F2   >  33C0          XOR     EAX, EAX                         ;  修复为jmp [addr]的部分
005695F4   .  B9 CC951600   MOV     ECX, 1695CC
005695F9   .  BF 00104000   MOV     EDI, 00401000
005695FE   >  B0 E8         MOV     AL, 0E8
00569600   >  F2:AE         REPNE   SCAS BYTE PTR ES:[EDI]
00569602   .  83F9 00       CMP     ECX, 0
00569605   .  74 2C         JE      SHORT 00569633
00569607   .  8B1F          MOV     EBX, DWORD PTR DS:[EDI]
00569609   .  8D5C3B 04     LEA     EBX, DWORD PTR DS:[EBX+EDI+4]
0056960D   .  81FB 00104000 CMP     EBX, 00401000
00569613   .^ 72 EB         JB      SHORT 00569600
00569615   .  81FB C7955600 CMP     EBX, 005695C7                    ;  判断是否符合修复条件
0056961B   .^ 77 E3         JA      SHORT 00569600
0056961D   .  66:8B03       MOV     AX, WORD PTR DS:[EBX]
00569620   .  66:3D FF15    CMP     AX, 15FF
00569624   .  75 0B         JNZ     SHORT 00569631
00569626   .  66:C703 FF25  MOV     WORD PTR DS:[EBX], 25FF
0056962B   .  83C7 04       ADD     EDI, 4
0056962E   .  83E9 04       SUB     ECX, 4
00569631   >^ EB CB         JMP     SHORT 005695FE
00569633   >  61            POPAD
00569634   .  90            NOP
00569635   .  90            NOP
00569636   .  90            NOP
00569637   .  90            NOP
00569638   .  90            NOP
00569639   .  90            NOP
0056963A   .  90            NOP
0056963B   .  90            NOP
0056963C   .  90            NOP
0056963D   .  90            NOP
0056963E   .  90            NOP
0056963F   .  90            NOP
00569640   .  48965600      DD      dumped_.00569648
00569644      00            DB      00
00569645      00            DB      00
00569646      00            DB      00
00569647      00            DB      00
00569648      90            NOP
00569649   .  60            PUSHAD
0056964A   .  BD 00916400   MOV     EBP, 00649100
0056964F   .  90            NOP
00569650   .  8B4D 04       MOV     ECX, DWORD PTR SS:[EBP+4]
00569653   .  0BC9          OR      ECX, ECX
00569655   .  75 18         JNZ     SHORT 0056966F                   ;  这里修复和上两篇有所不同,这篇里的iat是加密处理过的
00569657   .  B9 C4E05700   MOV     ECX, <&kernel32.GetFileType>     ;  对于修复加密的输入表,我采用脚本+代码的方式
0056965C   .  8911          MOV     DWORD PTR DS:[ECX], EDX          ;  来修复输入表
0056965E   .  894D 08       MOV     DWORD PTR SS:[EBP+8], ECX
00569661   .  83C1 04       ADD     ECX, 4
00569664   .  894D 04       MOV     DWORD PTR SS:[EBP+4], ECX
00569667   .  90            NOP
00569668   .  90            NOP
00569669   .  90            NOP
0056966A   .  90            NOP
0056966B   .  90            NOP
0056966C   .  90            NOP
0056966D   .  EB 45         JMP     SHORT 005696B4
0056966F   >  8BF1          MOV     ESI, ECX
00569671   .  81E9 C4E05700 SUB     ECX, <&kernel32.GetFileType>
00569677   .  C1E9 02       SHR     ECX, 2
0056967A   .  8BC2          MOV     EAX, EDX                         ;  ntdll.KiFastSystemCallRet
0056967C   .  BF C4E05700   MOV     EDI, <&kernel32.GetFileType>
00569681   .  F2:AF         REPNE   SCAS DWORD PTR ES:[EDI]
00569683   .  0BC9          OR      ECX, ECX
00569685   .  74 08         JE      SHORT 0056968F
00569687   .  83EF 04       SUB     EDI, 4
0056968A   .  897D 08       MOV     DWORD PTR SS:[EBP+8], EDI        ;  ntdll.7C930738
0056968D   .  EB 25         JMP     SHORT 005696B4
0056968F   >  90            NOP
00569690      90            NOP                                      ;  写好脚本和这里的代码后,先在这里下f2断
00569691   .  90            NOP                                      ;  用于脚本判断是否为相同的DLL
00569692   .  90            NOP
00569693   .  90            NOP
00569694   .  90            NOP
00569695   .  0BD2          OR      EDX, EDX                         ;  通过脚本判断是否为相同的DLL,如果相同edx=0不同edx=1
00569697   .  75 0D         JNZ     SHORT 005696A6
00569699   .  8906          MOV     DWORD PTR DS:[ESI], EAX
0056969B   .  8975 08       MOV     DWORD PTR SS:[EBP+8], ESI
0056969E   .  83C6 04       ADD     ESI, 4
005696A1   .  8975 04       MOV     DWORD PTR SS:[EBP+4], ESI
005696A4   .  EB 0E         JMP     SHORT 005696B4
005696A6   >  83C6 04       ADD     ESI, 4
005696A9   .  8906          MOV     DWORD PTR DS:[ESI], EAX
005696AB   .  8975 08       MOV     DWORD PTR SS:[EBP+8], ESI
005696AE   .  83C6 04       ADD     ESI, 4
005696B1   .  8975 04       MOV     DWORD PTR SS:[EBP+4], ESI
005696B4   >  61            POPAD
005696B5   .  FF15 18900401 CALL    DWORD PTR DS:[1049018]           ;  执行原壳的代码
005696BB   .  C3            RETN

_____________________END_____________________________________

____________________相关脚本_________________________________

//fix1
var dll1
var dllnow
var addr

start:
   run

l1:
        cmp eip,569690                        //跳去处理是否为同一DLL
        je l2
        cmp eip,0012800c5                //判断是否为jmp [esp-4]处
        je l6
       
        ret

l2:
        gn edx
        mov dllnow,$RESULT_1
        cmp dll1,0
        jne l3
        mov dll1,dllnow

l3:
        cmp dll1,dllnow
        jne l4
        mov edx,0
        jmp l5

l4:
        mov dll1,dllnow
        mov edx,1

l5:       
        sto
        jmp start

l6:
        mov addr,esp
        sub addr,4
        mov [addr],5695df                        //修改eip
        jmp start
_____________________END_____________________________________

写好了上面的东西,运行脚本,用importrec修复输入表时,有一个是GetProcAddress:
00407784  - FF25 28B45700   JMP     DWORD PTR DS:[57B428]
把这个API修复好,其它无效的直接cut掉,分两次就可以把iat获取并修复好。

修复好程序并不能够运行的。通过运行发现下面的地方,就是检测是否被壳的相关地址:

0055B03B   .  E8 7498FDFF   CALL    005348B4                         ;  CreateFileA
0055B040      3D A66D0D00   CMP     EAX, 0D6DA6                      ;  判断文件大小?
0055B045      0F8E 8B000000 JLE     0055B0D6                         ;  如果小于或等于则跳,正常这里是跳的

因为考虑到处理反脱壳检测可能会比较麻烦,所以我直接改CreateFileA为原来没有脱壳的文件名,这样就可以通过检测,操作好后,还有一个段被抽在程序里,直接用lordpe添加段进去。这样子程序就可以运行了,不过可惜的,按菜单功能的时间还是会异常退出:-(,唉不脱了,再脱真的是脱皮而不是脱壳了。

Greetz:
Fly.Jingulong,yock,tDasm.David.hexer,hmimys,ahao.UFO(brother).alan(sister).all of my

friends and you!

          By loveboom[DFCG][FCG][US]
                      http://blog.csdn.net/bmd2chen
               

                                        Email:loveboom#163.com


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (24)
雪    币: 133
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
又顶
2005-10-5 20:44
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
3
高手阿。看不懂,纯属支持。
2005-10-5 20:50
0
雪    币: 442
活跃值: (1241)
能力值: ( LV12,RANK:1130 )
在线值:
发帖
回帖
粉丝
4
水牛出来透气了
2005-10-5 20:51
0
雪    币: 306
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
顶。。。沙发没抢到,板凳也没到手。
2005-10-5 20:53
0
雪    币: 306
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
哈哈,。。沙发很难哦。
顶楼主。厉害
2005-10-5 20:55
0
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
浏览过方知非自己所能为之。
2005-10-6 02:31
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
8
坐沙发哦
2005-10-6 07:29
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
强人 只有支持的份
2005-10-6 18:39
0
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
10
厉害
2005-10-6 19:42
0
雪    币: 690
活跃值: (1841)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
11
3顶
2005-10-8 17:50
0
雪    币: 400
活跃值: (239)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
12
,我也3顶!
2005-10-8 20:06
0
雪    币: 213
活跃值: (96)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
亲爱的2水
2005-10-9 00:48
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
14
只能??的份....
2005-10-9 19:33
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
谢谢楼主,感谢
2005-10-9 22:34
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
大大们:
??一下文章?所真的:

"相关地址,然后写上相关代码:
获取CALL 01270000全部地址的修复代码"

呃二句?是什?意思呢?
能否描述的更?一?呢?
非常感著解答的大大唷!
2005-11-3 18:01
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
这个教学似乎不支持SKE版,脱了2个SKE版完全与教学不同。
2005-11-3 19:46
0
雪    币: 7
活跃值: (30)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
18
写的真好!可是我按照你的方法老弄不明白!建议论坛开放图片功能!
2005-11-12 10:58
0
雪    币: 215
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
不好意思,有点地方看不明白,能请教下吗?
1.005695D0   .  60            PUSHAD 这里补丁开始处会执行吗?什么时候执行?
2.“操作好后,还有一个段被抽在程序里,直接用lordpe添加段进去。”这里具体应该怎样操作呢?
2005-11-14 02:49
0
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
20
最初由 鸡蛋壳 发布
这个教学似乎不支持SKE版,脱了2个SKE版完全与教学不同。


同感!CALL修复似乎没这么直接了。
2005-11-24 12:31
0
雪    币: 200
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
正在学习中。。。。。。
2005-11-25 00:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
不好意思,有点地方看不明白,能请教下吗?
1.005695D0   .  60            PUSHAD 这里补丁开始处会执行吗?什么时候执行?
2005-12-6 10:13
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
看不懂,纯属支持。
2005-12-6 11:17
0
雪    币: 1126
活跃值: (156)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
24
我只喜欢用现成的工具, 看到壳就头痛
2005-12-6 15:56
0
雪    币: 234
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
25
最初由 DiKeN 发布
我只喜欢用现成的工具, 看到壳就头痛

此人灌水...
2005-12-6 17:14
0
游客
登录 | 注册 方可回帖
返回
//