首页
社区
课程
招聘
悠悠心算2006 V1.0的脱壳与解决自校验
发表于: 2006-1-18 19:42 7755

悠悠心算2006 V1.0的脱壳与解决自校验

cyto 活跃值
31
2006-1-18 19:42
7755

悠悠心算2006 V1.0

说明:本文参考了Pr0Zel的大作:发现一个可以快速寻找到程序退出函数的方法
http://bbs.pediy.com/showthread.php?s=&threadid=20376
非常好用!

PEID:Nothing found *
LANGUAGE:C/C+++Aspack,估计是误报。

1.脱壳
OD载入:
00A2D000 y>  E8 00000000      call yyxs.00A2D005         ;入口点
00A2D005     5D               pop ebp
...
00A28001     60               pushad                     ;F7+F4一直走到这里
00A28002     E8 03000000      call yyxs.00A2800A         ;对esp下硬件访问断点,F9
...
00A283AF     61               popad
00A283B0     75 08            jnz short yyxs.00A283BA    ;停在此
00A283B2     B8 01000000      mov eax,1
00A283B7     C2 0C00          retn 0C
00A283BA     68 B4576C00      push yyxs.006C57B4
00A283BF     C3               retn                       ;返回到 006C57B4 (yyxs.006C57B4)
...
006C57B4     55               push ebp                   ; yyxs.0062ADEC
dump,language:Delphi+Aspack,估计还是误报。
程序不能运行。

ImportREC:OEP=002C57B4
IAT autosearch:RVA=002D3240;size=00000FCC
没有发现无效的函数,Fixdump。
程序可以运行,不过刚出现界面就退出。
运行原程序,我靠,竟然把我刚脱掉壳的程序和修复IAT的程序给删除了。很强悍啊!

2.解决自校验
2.1第一个自校验:程序建立日期
根据Pr0Zel的Exit动画,OD载入脱壳后修复的程序,运行直到程序退出,在堆栈里找退出的程序ExitProcess:
0012FD68   /0012FDF4
0012FD6C   |00404E0B   返回到 up-xs-2.00404E0B 来自 <jmp.&kernel32.ExitProcess>
0012FD70   |00000000
0012FD74   |0012FDF4
0012FD78   |006AA508   up-xs-2.006AA508
0012FD7C   |01CE4650
0012FD80   |01CC08EC
0012FD84   |006AC815   返回到 up-xs-2.006AC815 来自 up-xs-2.00404D4C
0012FD88   |0012FDFC   指针到下一个 SEH 记录
0012FD8C   |006AC830   SE 句柄
好,来到006AC815,就是这样:
006AC801   |.  8B45 AC        mov eax,dword ptr ss:[ebp-54]       ;  ASCII "2006-01-18"
006AC804   |.  BA E8C96A00    mov edx,up-xs-2.006AC9E8            ;  ASCII "2005-12-21"
006AC809   |.  E8 DE8AD5FF    call up-xs-2.004052EC
006AC80E   |. /74 05          je short up-xs-3.006AC815
006AC810   |. |E8 3785D5FF    call up-xs-2.00404D4C          ;导致程序退出
006AC815   |> \33C0           xor eax,eax

006AC809 call up-xs-2.004052EC的call竟然是比较日期的,如果日期相等就跳过。
呵呵,原程序的创立时间的确是2005-12-21,我的脱壳修复软件是2006-01-18。
要么修改跳转,要不修改原程序的时间值:20051221。

2.2第二个自校验:比较程序名与程序个数
修改006AC80E的跳转,程序还是退出,根据相同方法找到:
0064DAA2    .  FF52 14        call dword ptr ds:[edx+14]
0064DAA5    .  48             dec eax              
0064DAA6      /7E 05          jle short up-xs-2.0064DAAD            ; 文件夹下是否有多个exe文件   
0064DAA8    . |E8 9F72DBFF    call up-xs-2.00404D4C                 ;  退出程序的调用还是相同的call
0064DAAD    > \8B45 FC        mov eax,dword ptr ss:[ebp-4]
向上找,来到:
0064DA40    .  8B85 54FEFFFF   mov eax,dword ptr ss:[ebp-1AC]      ;  
0064DA46    .  BA F0E76400     mov edx,up-xs-2.0064E7F0            ;  ASCII "yyxs.exe"
0064DA4B    .  E8 9C78DBFF     call up-xs-2.004052EC
0064DA50    .  74 3B           je short up-xs-2.0064DA8D

这个自校验程序名是否被改了。
往下跟还有一个跳转:0064DA8F jnz short up-xs-2.0064DA24
这个跳转跟了后发现,程序探测所在文件夹下有多少个exe执行文件,一个个比较名字,如果都没有相同的话就退出。
估计也就是根据这个判断,使得运行原程序后其他exe文件都被删除。
先改回原来的名称,而且文件夹下只留一个exe文件。

2.3第三个自校验:
同样又找到:
0064E5AA    > \8A45 BF         mov al,byte ptr ss:[ebp-41]         ;  0012FDB3=00
0064E5AD    .  3C 78           cmp al,78
0064E5AF    .  74 05           je short up-xs-2.0064E5B6
0064E5B1    .  E8 9667DBFF     call up-xs-2.00404D4C
这个不晓得是什么。

搞定这3个自校验后,程序终于启动进入。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (6)
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
对付自校验又学了一招
2006-1-18 22:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
学习学习
2006-1-20 17:46
0
雪    币: 175
活跃值: (2616)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
对付自效验很麻烦的。
2006-1-20 20:43
0
雪    币: 333
活跃值: (40)
能力值: ( LV9,RANK:730 )
在线值:
发帖
回帖
粉丝
5
好方法,学习!
2006-4-5 16:43
0
雪    币: 250
活跃值: (103)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
好!!!
2006-4-5 21:26
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
学习了! 记得以前搞过个算命的和这个很像
2006-4-5 21:34
0
游客
登录 | 注册 方可回帖
返回
//