"一UPX壳程序脱壳后的迷惑问题" 详解

【作者声明】：初学Crack，只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

【破解作者】：blackeyes

【破解过程】：

只是本人一只菜鸟, 在此将调试的过程及思路写出来, 是想让和我一样的菜鸟来分享一下, 高手莫笑.

1. 脱壳 + 补上附加数据

用PEiD查壳: UPX, 手动脱壳没有任何难度, 在此略过.

程序有附加数据, 直接运行脱壳后的程序, 有错.

下面将原程序叫sw.exe, 脱壳后的程序叫 new.exe

这是刚脱壳修复后的一些大小:

                    sw.exe                     new.exe
----------------------------------------------------------
OEP                 00476760                   004411E8
PE size             2A600                      7B000
file size           4CD0D                      7B000
附加数据大小        2270D                      0

将附加数据从 sw.exe 的文件尾 COPY 到 new.exe 的 文件尾, 变成这样:

                    sw.exe                     new.exe
----------------------------------------------------------
OEP                 00476760                   004411E8
PE size             2A600                      7B000
file size           4CD0D                      9E70D
附加数据大小        2270D                      2270D

即脱壳后, 文件变大了: 7B000 - 2A600 = 50A00

再运行 new.exe 还是有错.

2. ollydbg 跟踪 + 修复附加数据

用 OD 载入 sw.exe, 先 bp CreateFileA 下断, 再 F9 运行,

断在KERNEL32.CreateFileA, 这时看右下 STACK Window :

0011E66C   004499C5  /CALL to CreateFileA from new.004499BF
0011E670   0012E730  |FileName = "C:\Temp\new.exe"
0011E674   80000000  |Access = GENERIC_READ
0011E678   00000003  |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0011E67C   0011E698  |pSecurity = 0011E698
0011E680   00000003  |Mode = OPEN_EXISTING
0011E684   00000080  |Attributes = NORMAL
0011E688   00000000  \hTemplateFile = NULL

再 Alt-F9 返回, 返回到 004499C5, FileHandle = 000000FC

004499BC   FF75 08             PUSH DWORD PTR SS:[EBP+8]
004499BF   FF15 B8DA4600       CALL DWORD PTR DS:[46DAB8]               ; KERNEL32.CreateFileA
004499C5   8BF0                MOV ESI,EAX                              ; 返回这, EAX=000000FC

由于我们下面要跟踪程序对sw.exe的读的操作情况, 再设两个断点

  bp SetFilePointer
  bp ReadFile

然后 F9 运行,

断在KERNEL32.SetFilePointer, 看右下, 文件指针 到 FILE_END - 12:

0011E6A8   00443E51  /CALL to SetFilePointer from new.00443E4B
0011E6AC   000000FC  |hFile = 000000FC (window)
0011E6B0   FFFFFFF4  |OffsetLo = FFFFFFF4 (-12.)
0011E6B4   00000000  |pOffsetHi = NULL
0011E6B8   00000002  \Origin = FILE_END

再 Alt-F9 返回, 返回到 00443E51

00443E40   FF7424 14           PUSH DWORD PTR SS:[ESP+14]
00443E44   6A 00               PUSH 0
00443E46   FF7424 18           PUSH DWORD PTR SS:[ESP+18]
00443E4A   50                  PUSH EAX
00443E4B   FF15 B4DA4600       CALL DWORD PTR DS:[46DAB4]               ; KERNEL32.SetFilePointer
00443E51   8BF8                MOV EDI,EAX                              ; return here

F9 运行, 断在KERNEL32.ReadFile, 看右下, 要读 1000(4096) bytes:

0011E664   0044428D  /CALL to ReadFile from new.00444287
0011E668   000000FC  |hFile = 000000FC (window)
0011E66C   00D8C6D8  |Buffer = 00D8C6D8
0011E670   00001000  |BytesToRead = 1000 (4096.)
0011E674   0011E688  |pBytesRead = 0011E688
0011E678   00000000  \pOverlapped = NULL

再 Alt-F9 返回, 返回到 0044428D, 实际上读的数据为 0C bytes, 位于00D8C6D8

0044427E    8B07            MOV EAX,DWORD PTR DS:[EDI]
00444280    FF75 10         PUSH DWORD PTR SS:[EBP+10]
00444283    52              PUSH EDX
00444284    FF3430          PUSH DWORD PTR DS:[EAX+ESI]
00444287    FF15 B0DA4600   CALL DWORD PTR DS:[<&kernel32.ReadFile>] ; KERNEL32.ReadFile
0044428D    85C0            TEST EAX,EAX

这是读到的数据, 共 0C(12)  bytes:

00D8C6D8  20 11 A8 AA AA 0C A8 AA 2F EF C7 5B 0D F0 AD BA   ......./..[....

我们要看这些数据要怎么处理, 在数据窗中对 00D8C6D8-00D8C6E3 的 0C bytes 下 memory access 断点:

F9 运行, 先断在0044418A:

0044418A    0FB601          MOVZX EAX,BYTE PTR DS:[ECX]                 ; EAX = 20
0044418D    41              INC ECX
0044418E    890E            MOV DWORD PTR DS:[ESI],ECX                  ; ESI = 456800
00444190    5E              POP ESI
00444191    C3              RETN                                        ; return 43F94E

F8 单步几下,
0043F949    E8 7E470000     CALL SW.004440CC
0043F94E    83F8 FF         CMP EAX,-1                                  ; 上面返回这
0043F951    59              POP ECX
0043F952    74 28           JE SHORT SW.0043F97C
0043F954    8803            MOV BYTE PTR DS:[EBX],AL                    ; 20 ==> [12E844]

F9 运行, 接着又断在0043E500:

0043E500    8A06            MOV AL,BYTE PTR DS:[ESI]                    ; 11
0043E502    8807            MOV BYTE PTR DS:[EDI],AL                    ;    ==> [12E845]
0043E504    8A46 01         MOV AL,BYTE PTR DS:[ESI+1]                  ; A8
0043E507    8847 01         MOV BYTE PTR DS:[EDI+1],AL                  ;    ==> [12E846]
0043E50A    8A46 02         MOV AL,BYTE PTR DS:[ESI+2]                  ; AA
0043E50D    8847 02         MOV BYTE PTR DS:[EDI+2],AL                  ;    ==> [12E847]
0043E510    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]
0043E513    5E              POP ESI
0043E514    5F              POP EDI
0043E515    C9              LEAVE
0043E516    C3              RETN

F8 单步步过0043E50D后, 我们看到, 前4个bytes: 20 11 A8 AA, 已经在 [12E844] 中,

这时对12E844下硬件access断点, F9 运行, 断在0043D50F

看看下面的CODE, 即将 AAA81120 解密成 0002BB8A,

同理, 很快就可以跟到中间的 4 bytes 与最后的 4 个bytes 分别在下面解密:

@0043D51E:    AAA80CAA xor AAAAAAAA = 0002A600
@0043D52D:    5BC7EF2F xor AAAAAAAA = F16D4585

所以下面的一段CODE很关键, 从0043D52D起就可以F8单步跟一下, 看看程序都在干什么,

其中 0043D536 处的  CALL SW.0043F774  和 0043D56E 处的  CALL SW.0043F871

最终都会 CALL KERNEL32.ReadFile(), 这个要稍微注意一下.

很明显, 这段 CODE 是一个循环, 从sw.exe文件的开头连续读出数据, 进行计算, 最后

在0043D58D 循环结束, 然后在0043D595有一个比较.

0043D4F2   E8 7D220000         CALL SW.0043F774
0043D4F7   FF36                PUSH DWORD PTR DS:[ESI]
0043D4F9   8D45 FC             LEA EAX,DWORD PTR SS:[EBP-4]
0043D4FC   53                  PUSH EBX
0043D4FD   6A 04               PUSH 4
0043D4FF   50                  PUSH EAX
0043D500   E8 6C230000         CALL SW.0043F871
0043D505   FF36                PUSH DWORD PTR DS:[ESI]
0043D507   8D5E 04             LEA EBX,DWORD PTR DS:[ESI+4]
0043D50A   BF AAAAAAAA         MOV EDI,AAAAAAAA                         ; ******
0043D50F   317D FC             XOR DWORD PTR SS:[EBP-4],EDI             ; *** AAA81120 xor AAAAAAAA = 0002BB8A ***
0043D512   6A 01               PUSH 1
0043D514   6A 04               PUSH 4
0043D516   53                  PUSH EBX
0043D517   E8 55230000         CALL SW.0043F871
0043D51C   FF36                PUSH DWORD PTR DS:[ESI]
0043D51E   313B                XOR DWORD PTR DS:[EBX],EDI               ; *** AAA80CAA xor AAAAAAAA = 0002A600 ***
0043D520   8D45 F4             LEA EAX,DWORD PTR SS:[EBP-C]
0043D523   6A 01               PUSH 1
0043D525   6A 04               PUSH 4
0043D527   50                  PUSH EAX
0043D528   E8 44230000         CALL SW.0043F871
0043D52D   317D F4             XOR DWORD PTR SS:[EBP-C],EDI             ; *** 5BC7EF2F xor AAAAAAAA = F16D4585 ***
0043D530   33FF                XOR EDI,EDI
0043D532   57                  PUSH EDI
0043D533   57                  PUSH EDI
0043D534   FF36                PUSH DWORD PTR DS:[ESI]
0043D536   E8 39220000         CALL SW.0043F774                         ; 这个CALL会最终CALL ReadFile()
0043D53B   8B45 FC             MOV EAX,DWORD PTR SS:[EBP-4]             ; 数据 total size = 0002BB8A
0043D53E   83C4 48             ADD ESP,48
0043D541   85C0                TEST EAX,EAX
0043D543   7E 4A               JLE SHORT SW.0043D58F

0043D545   8D8F 00000100       LEA ECX,DWORD PTR DS:[EDI+10000]         ; 这儿是循环开始
0043D54B   3BC8                CMP ECX,EAX
0043D54D   7E 07               JLE SHORT SW.0043D556
0043D54F   2BC7                SUB EAX,EDI
0043D551   8945 0C             MOV DWORD PTR SS:[EBP+C],EAX
0043D554   EB 07               JMP SHORT SW.0043D55D
0043D556   C745 0C 00000100    MOV DWORD PTR SS:[EBP+C],10000           ; UNICODE "ALLUSERSPROFILE=C:\Documents and Settings\All Users"
0043D55D   FF36                PUSH DWORD PTR DS:[ESI]
0043D55F   037D 0C             ADD EDI,DWORD PTR SS:[EBP+C]
0043D562   8D85 E8FEFEFF       LEA EAX,DWORD PTR SS:[EBP+FFFEFEE8]
0043D568   FF75 0C             PUSH DWORD PTR SS:[EBP+C]
0043D56B   6A 01               PUSH 1
0043D56D   50                  PUSH EAX
0043D56E   E8 FE220000         CALL SW.0043F871                         ; 这个CALL会最终CALL ReadFile()
0043D573   83C4 10             ADD ESP,10
0043D576   8D85 E8FEFEFF       LEA EAX,DWORD PTR SS:[EBP+FFFEFEE8]
0043D57C   8D4D F0             LEA ECX,DWORD PTR SS:[EBP-10]
0043D57F   FF75 0C             PUSH DWORD PTR SS:[EBP+C]
0043D582   50                  PUSH EAX
0043D583   E8 25060000         CALL SW.0043DBAD                         ; 计算CRC
0043D588   8B45 FC             MOV EAX,DWORD PTR SS:[EBP-4]
0043D58B   3BF8                CMP EDI,EAX                              ; 已经计算到0002BB8A 了吗?
0043D58D  ^7C B6               JL SHORT SW.0043D545                     ; 没有就循环

0043D58F   8B45 F4             MOV EAX,DWORD PTR SS:[EBP-C]             ; F16D4585
0043D592   3B45 F0             CMP EAX,DWORD PTR SS:[EBP-10]            ; 1C3B0A28 = AAAAAAAA xor B5695605
0043D595   74 05               JE SHORT SW.0043D59C                     ; ** 要跳 ***

刚开始从文件尾读出 0C(12) bytes 的数据解密得到3个DWORD, 我们把它们分别叫X,Y,Z

跟完这段CODE, 我们知道其中X是一长度, 表示从sw.exe的开始读出 X bytes 的数据, 算出一个结果U, 放在[EBP-10]中,

而 Z 是一个校验值, 放在[EBP-0C]中, 最后 U 应该 等于 Z. 这一点可以用两个OD, 同时跟sw.exe 和 new.exe, 很容易就

可以发现.

(跟sw.exe), 从 0043D595 跳过后, F9 运行, 会断在 KERNEL32.SetFilePointer

看右下STACK窗, 文件指针从FILE_BEGIN 移动到2A600, 这是附加数据的开始

0011E6A8   00443E51  /CALL to SetFilePointer from SW.00443E4B
0011E6AC   000000FC  |hFile = 000000FC (window)
0011E6B0   0002A600  |OffsetLo = 2A600 (173568.)
0011E6B4   00000000  |pOffsetHi = NULL
0011E6B8   00000000  \Origin = FILE_BEGIN

注意, 它是从FILE_BEGIN 移动到 2A600, 而不是从文件尾向前移动!!! 所以脱壳后,

读 new.exe 时,应将文件指针从FILE_BEGIN 移动到 7B000, 否则从 sw.exe 和从 new.exe

读出的数据将不一样. 而且移动的偏移量就是解密后的第二个DWORD, 即前边说的 Y

再跟, 就可以发现程序对sw.exe 有很多的读, 都是在附加数据中,

0011E664   0044428D  /CALL to ReadFile from SW.00444287
0011E668   000000FC  |hFile = 000000FC (window)
0011E66C   00D8C6C8  |Buffer = 00D8C6C8
0011E670   00000200  |BytesToRead = 200 (512.)
0011E674   0011E688  |pBytesRead = 0011E688
0011E678   00000000  \pOverlapped = NULL

0011E668   00443E51  /CALL to SetFilePointer from SW.00443E4B
0011E66C   000000FC  |hFile = 000000FC (window)
0011E670   00000000  |OffsetLo = 0
0011E674   00000000  |pOffsetHi = NULL
0011E678   00000001  \Origin = FILE_CURRENT

我们要保证的是脱壳后的程序对new.exe读的是相同位置的数据, 即从文件尾起定位的话, offset

是一样的, 但从文件头起定位的话, offset 要不一样, 即文件大了多少, offset就应该大多少.

附加数据的最后0C bytes 应该这样修复:

sw.exe 的 最后0C bytes:

   20 11 A8 AA-AA 0C A8 AA-2F EF C7 5B

解密(XOR AA)后, 为:

  8A BB 02 00-00 A6 02 00-85 45 6D F1
  
即 size=0002BB8A, offset=0002A600, crc=F16D4585

由于脱壳后, 文件new.exe 变大了 50A00, 所以 size = 0007C58A, offset= 0007B000, CRC = .....

加密(XOR AA)后, 为:

  20 6F AD AA-AA 1A AD AA-xx xx xx xx

将new.exe的最 0C bytes 改成上面的值,  其中CRC部分, 可以先随便填一个值, 然后 用OD 在 0043D592, 就

可以看到new.exe 的CRC 值, 再将看到的CRC XOR AAAAAAAA, 重新填回new.exe, 然后直接运行new.exe,

可以发现已经没有问题了.

3. 总结:

  1.) 对有附加数据的程序脱壳, 要先脱壳, 修复IAT, 再补上附加数据,

  2.) 补上的附加数据大小应该和原程序的附加数据大小一样,

  3.) 附加数据大小可以这样计算: 文件大小 - (EXE的最后一个段的 Raw_Offset + Raw_Size),
   
      其中的 Raw_Offset 和 Raw_Size  可从任何的 EXE 编辑器中看到.

  4.) 如果简单补上附加数据不行的话, 要调试, 主要的断点 就是 SetFilePointer 和 ReadFile.

  5.) 然后就是监视读到的数据都干了些什么, 主要是下memory 断点.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课