某版本ACProtect Replace Code处理代码的一点分析-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

某版本ACProtect Replace Code处理代码的一点分析

发表于: 2006-2-14 10:22 7197

某版本ACProtect Replace Code处理代码的一点分析

cyclotron

2006-2-14 10:22

7197

趁着放假看了一下ACProtect(UltraFXP免费版)，老掉牙的东西可能已经没什么用了。马上又要开学乐sigh，不知这次脱节又要维持到何年何月。。。

更新了一下blog，欢迎来坐坐~
EVERYTHiNG iS BYTE

   ACProtect采用了ReplaceCode技术，会在加壳时随机替换原来的一些"2+3"或者"3+2"模式的指令为call XXXXXXXX，其中XXXXXXXX为壳内地址。在XXXXXXXX处做一些解码以后在默认堆或者原位置动态还原这些已经添加了垃圾指令的ReplaceCode，然后到那里执行。一旦还原完毕以后，就把call XXXXXXXX中的地址指向还原后的位置，以后再次执行就不必重新还原，以提高程序执行效率。
在新版的ACProtect中外壳会维护一个计数器计算ReplaceCode的调用次数，只有那些反复被调用的ReplaceCode才会采用永久还原模式进行调用。
注意ACProtect在还原ReplaceCode的过程中用到了EP的值进行解码，所以脱壳以后的程序要保持原来的EP不变才能成功解码。当然单就ReplaceCode的还原而言可以强制它用自定义的Key来解码，但是程序中其他的SDK解码也用到了EP值，所以要强行修改EP的话必须一并处理。

006885B7
006885B7                call GetDeltaInEbp
006885BC                mov    eax, [esp+arg_1C] ; 取得返回地址
006885C0                xor    ecx, ecx
006885C2
006885C2 CheckNextRetRVA:                      ; ...
006885C2                mov    ebx, ss:lpRetRVATable[ebp+ecx*4] ; 加壳时生成的返回地址表
006885C9                add    ebx, ss:dwImageBase[ebp]
006885CF                cmp    eax, ebx
006885D1                jz    short RetRVAFound
006885D3                nop
006885D4                nop
006885D5                nop
006885D6                nop
006885D7                inc    ecx
006885D8                jmp    short CheckNextRetRVA ; 加壳时生成的返回地址表
006885DA ; ----------------------------------------------------------------------------
006885DA
006885DA RetRVAFound:                         ; ...
006885DA                mov    ss:lpRetRVATable[ebp+ecx*4], 0
006885E5                lea    esi, lpEncryptedReplaceCode[ebp] ; 指向加密的ReplaceCode
006885EB                mov    eax, 0Ah       ; 每组ReplaceCode长度为10个字节
006885F0                mul    ecx
006885F2                add    esi, eax
006885F4                push esi
006885F5                push ecx
006885F6                mov    al, ss:dwKey[ebp]
006885FC                or    al, al       ; Key是否为0？
006885FE                jnz    short KeyNonZero
00688600                nop
00688601                nop
00688602                nop
00688603                nop
00688604                mov    eax, ss:dwImageBase[ebp]
0068860A                mov    esi, [eax+IMAGE_DOS_HEADER.e_lfanew]
0068860D                add    esi, ss:dwImageBase[ebp]
00688613                add    esi, IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint
00688616                lodsd                ; Key为零就从EP重新生成，
00688616                                        ; 这样脱壳后的程序解码就会错误
00688617                mov    bl, al
00688619                add    bl, ah
0068861B                shr    eax, 10h
0068861E                add    bl, al
00688620                add    bl, ah
00688622                mov    ss:dwKey[ebp], bl ; 计算以后设为新的Key
00688628
00688628 KeyNonZero:                            ; ...
00688628                pop    ecx
00688629                pop    esi
0068862A                pusha
0068862B                mov    eax, 2
00688630                call GenRand0or1    ; 返回0和1的概率为1:1，
00688630                                        ; 返回0时将ReplaceCode恢复
00688630                                        ; 到默认堆；返回1时恢复在加
00688630                                        ; 密ReplaceCode的原位置
00688635                or    eax, eax
00688637                jnz    short RestoreReplaceCodeHerein
00688639                nop
0068863A                nop
0068863B                nop
0068863C                nop
0068863D                popa
0068863E                mov    edi, ss:dwDefaultHeapMem[ebp]
00688644                mov    eax, 0Ah
00688649                mul    ecx
0068864B                add    edi, eax
0068864D                mov    ecx, 0Ah
00688652                mov    bl, ss:dwKey[ebp] ; 取出Key到bl
00688658                jmp    short RestoreReplaceCodeInHeap
00688658 ; ----------------------------------------------------------------------------
0068865A                db 3 dup(90h)
0068865D ; ----------------------------------------------------------------------------
0068865D
0068865D RestoreReplaceCodeHerein:             ; ...
0068865D                popa
0068865E                mov    edi, esi       ; edi = esi
0068865E                                        ; 在原位置恢复ReplaceCode
00688660                mov    ecx, 0Ah
00688665                mov    bl, ss:dwKey[ebp]
0068866B
0068866B RestoreReplaceCodeInHeap:             ; ...
0068866B                lodsb
0068866C                xor    al, bl       ; 对ReplaceCode进行异或解码
0068866E                stosb
0068866F                loop RestoreReplaceCodeInHeap
00688671                sub    edi, 0Ah
00688674                push edi
00688675                mov    esi, [esp+4+arg_1C] ; 取得返回地址
00688679                sub    esi, 4
0068867C                lodsd
0068867D                sub    edi, 40240Ch
00688683                sub    edi, ebp
00688685                add    eax, edi
00688687                mov    [esi-4], eax ; 修改call DecryptReplaceCode
00688687                                        ; 为call ReplaceCode
0068868A                pop    edi
0068868B                push edi
0068868C                xor    ecx, ecx
0068868E
0068868E LoopFixingStack:                      ; ...
0068868E                cmp    ecx, 8
00688691                jz    short DoneFixingStack ; 返回地址填入恢复后的ReplaceCode
00688691                                        ; 所在位置
00688693                nop
00688694                nop
00688695                nop
00688696                nop
00688697                mov    eax, [esp+ecx*4+4]
0068869B                mov    [esp+ecx*4+4+var_4], eax ; 修复堆栈环境
0068869E                inc    ecx
0068869F                jmp    short LoopFixingStack
006886A1 ; ----------------------------------------------------------------------------
006886A1
006886A1 DoneFixingStack:                      ; ...
006886A1                mov    [esp+ecx*4+4+var_4], edi ; 返回地址填入恢复后的ReplaceCode
006886A1                                        ; 所在位置
006886A4                pusha
006886A5                call $+5
006886AA                pop    esi
006886AB                sub    esi, 6
006886AE                mov    ecx, 0EDh
006886B3                sub    esi, ecx
006886B5                mov    edx, 78AF007Bh
006886BA                shr    ecx, 2
006886BD                sub    ecx, 2
006886C0
006886C0 LoopDestroyDecryptor:                ; ...
006886C0                cmp    ecx, 0
006886C3                jl    short DoneDestroyDecryptor
006886C5                mov    eax, [esi+ecx*4]
006886C8                mov    ebx, [esi+ecx*4+4]
006886CC                xor    eax, ebx
006886CE                rol    eax, 13h
006886D1                xor    eax, edx
006886D3                sub    edx, 0BF32A1E8h
006886D9                mov    [esi+ecx*4], eax ; 加密ReplaceCode解码代码
006886DC                dec    ecx
006886DD                jmp    short LoopDestroyDecryptor
006886DF ; ----------------------------------------------------------------------------
006886DF
006886DF DoneDestroyDecryptor:                ; ...
006886DF                popa
006886E0                popa
006886E1                retn

这部分代码是动态生成的不能直接修改，不过GenRand0or1这个函数没有加密，动动手脚就可以把ReplaceCode原地解码了。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・7

支持

最新回复 (9)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼沙发+学习 2006-2-14 10:26 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 3 楼让GenRand0or1始终返回1就解决Replace Code了吗？ 2006-2-14 10:53 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼最初由 okdodo 发布让GenRand0or1始终返回1就解决Replace Code了吗？旧版中可以解决ReplaceCode中访问默认堆未分配空间的问题。 2006-2-14 11:14 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 5 楼楼主也是个长期潜水的 2006-2-14 12:22 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼最初由 softworm 发布楼主也是个长期潜水的没办法太多时候听不懂你们说话，只好虔诚旁听。。。 2006-2-14 12:40 0
yujinjianx 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	yujinjianx 7 楼虔诚旁听。。。 2006-2-14 17:20 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼请问，EP值是什么东西？ 2006-2-15 02:30 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 9 楼最初由 Isaiah 发布请问，EP值是什么东西？ short for EntryPoint 2006-2-15 11:18 0
rodneyluo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	rodneyluo 10 楼不错，我支持。 2006-2-15 13:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cyclotron

发帖

800

回帖

690

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼沙发+学习 2006-2-14 10:26 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 3 楼让GenRand0or1始终返回1就解决Replace Code了吗？ 2006-2-14 10:53 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼最初由 okdodo 发布让GenRand0or1始终返回1就解决Replace Code了吗？旧版中可以解决ReplaceCode中访问默认堆未分配空间的问题。 2006-2-14 11:14 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 5 楼楼主也是个长期潜水的 2006-2-14 12:22 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼最初由 softworm 发布楼主也是个长期潜水的没办法太多时候听不懂你们说话，只好虔诚旁听。。。 2006-2-14 12:40 0
yujinjianx 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	yujinjianx 7 楼虔诚旁听。。。 2006-2-14 17:20 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼请问，EP值是什么东西？ 2006-2-15 02:30 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 9 楼最初由 Isaiah 发布请问，EP值是什么东西？ short for EntryPoint 2006-2-15 11:18 0
rodneyluo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	rodneyluo 10 楼不错，我支持。 2006-2-15 13:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复