[原创]记一个简单未知壳的脱壳笔记和脚本-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]记一个简单未知壳的脱壳笔记和脚本

发表于: 2018-4-5 15:28 15956

[原创]记一个简单未知壳的脱壳笔记和脚本

从黎明到衰落

2018-4-5 15:28

15956

win7 32

PEID，OD，improtREC

图片描述

// 定义变量,初始化变量 
VAR dwGetAPIAddr 
VAR dwWriteIATAddr 
VAR dwOEP VAR dwTmp 

MOV dwGetAPIAddr, 001D0474    // 获取 API 地址的地方      
MOV dwWriteIATAddr, 001D0897  // 填充 IAT 的地方 
MOV dwOEP, 0047148B            // OEP

// 清理环境 
BC    // 清理软件断点 
BPHWC  // 清理硬件断点 
BPMC  // 清理内存断点 

// 设置断点 
BPHWS dwOEP, "x" 
BPHWS dwGetAPIAddr, "x" 
BPHWS dwWriteIATAddr, "x"

// 构造循环 
LOOP1:  

// 运行程序 
RUN 

// 判断 是 获取 API 地址的地方 
cmp eip,dwGetAPIAddr 
JNZ SIGN1 

MOV dwTmp, eax 
jmp LOOP1  

// 判断 是 填充 IAT 的地方 
SIGN1: 

cmp eip,dwWriteIATAddr 
JNZ SIGN2  

MOV [edx],dwTmp 

jmp LOOP1  
// 判断是 OEP ，结束了 
SIGN2: 
cmp eip,dwOEP 
JZ EXIT1 

jmp LOOP1  // 脚本结束 

EXIT1: 

MSG "yes，今晚吃鸡！"

先用PEID扫了一下发现什么都没有扫到

发现有pushad/fd先用ESP定律下断试一下
或者也可以单步F7遇到循环就跳也能出去,这种简单的壳这样做是可取的
嗯,直接就这样到了,F7几下就到了OEP
这里有个sub esp,0x58所以应该是Delphi写的,第一个call本来应该显示getversion的,但是并没有,发现它IAT加密了
OEP是47148B
那我们先跟进去看一下
这里有对ebx一个sub和add运算看了一下发现它获取到了GetVersion的地址
但是0x475080还是它WriteIAT的地址,所以在这里下硬件写入断点,然后重新运行寻找它GetAPIAddr(获取API地址的地方)
F9了两次发现这个地方像是写入IAT的地方

那这个1D0897应该是WriteIATAddr了
这个时候有两种办法

在写入iat的地方下断点,然后run跟踪,运行到下一次写入的时候就会断下来
然后进run跟踪的界面,找到7*开头往这个eax里面写入的地址就是GetAPIAddr了
可以看到这里获取到了API的地址
这个地方就可以用了,也可以再往上找一下eax是从哪来的
找到eax是从这个地方获取的

1D1914或者1D0474
我们写脱壳脚本的时候GetAPI用这两个地址都可以

等脚本跑完修复完导入表
从OEP处将程序dump出来

然后用imporREC修复一下dump出来程序的导入表就可以了

完成

一直单步F7找到它循环的规律寻找它是在哪获取到函数地址的

2.在0x1D0895这个地方下断用run跟踪F7跑一下(因为第一种方法没什么通用规律可言,只能一步一步跟踪,所以就详述第二种方法了,但是单步F7总是万能的^.^)
run跟踪的原理就是模拟操作然后全部记录在run跟踪窗口中

先用PEID扫了一下发现什么都没有扫到
图片描述

发现有pushad/fd先用ESP定律下断试一下

或者也可以单步F7遇到循环就跳也能出去,这种简单的壳这样做是可取的
图片描述

嗯,直接就这样到了,F7几下就到了OEP
图片描述

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2019-5-24 18:09 被从黎明到衰落编辑，原因：

上传的附件：

04.exe （270.00kb，74次下载）

收藏・11

免费・1

支持

最新回复 (19)
大道在我雪币： 8387 活跃值： (4961) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 211 粉丝 43 关注私信	大道在我 2 楼不错有收获 2018-4-5 20:45 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 3 楼大道在我不错有收获[em 4 6] 最后于 2018-4-5 20:57 被从黎明到衰落编辑，原因： 2018-4-5 20:57 0
xiaohang 雪币： 2155 活跃值： (3216) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 5 楼继续努力啊 2018-4-9 09:58 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 6 楼 xiaohang 继续努力啊[em_13] 谢谢鼓励! 2018-4-9 10:30 0
米捉鸡雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	米捉鸡 7 楼 “2.在0x2F0895这个地方下断用run跟踪F7跑一下(因为第一种方法没什么通用规律可言,只能一步一步跟踪,所以就详述第二种方法了,但是单步F7总是万能的^.^)” 这里下断点的地址应该是0x1D0895吧？ 2018-4-10 09:49 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 8 楼米捉鸡 “2.在0x2F0895这个地方下断用run跟踪F7跑一下(因为第一种方法没什么通用规律可言,只能一步一步跟踪,所以就详述第二种方法了,但是单步F7总是万能的^.^)” 这里下断点的地址应该是0x1 ... 嗯!是的谢谢指正,已修改 2018-4-10 10:26 0
米捉鸡雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	米捉鸡 9 楼从黎明到衰落嗯!是的谢谢指正,已修改[em_13] 大佬，你给的脱壳的代码要怎么编译啊？masm吗？ 2018-4-10 10:55 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 10 楼米捉鸡大佬，你给的脱壳的代码要怎么编译啊？masm吗？可以用asm，或者保存为txt文本也可以，我的脚本编译方式已经贴图到脚本代码下面最后于 2018-4-10 21:22 被从黎明到衰落编辑，原因： 2018-4-10 21:19 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 11 楼我以为科锐学员发的呢看到下面一看15pb 2018-10-20 01:43 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 12 楼最后于 2018-10-20 01:45 被养乐多A编辑，原因：发错了 2018-10-20 01:44 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 13 楼请问楼主，这怎么解决，直接跑你的脚本，出来还是加密的，这就是入口OEP吗？那请问怎么解决，然后我跟着后续步骤，用importREC修复也不成功，生成的exe也不能跑 2019-5-19 14:17 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 14 楼 mb_qmxsyypu 请问楼主，这怎么解决，直接跑你的脚本，出来还是加密的，这就是入口OEP吗？那请问怎么解决，然后我跟着后续步骤，用importREC修复也不成功，生成的exe也不能跑嗯，是的你按一下Ctrl+A 2019-5-20 11:07 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 15 楼从黎明到衰落嗯，是的你按一下Ctrl+A 好的，谢谢 2019-5-20 22:26 0
采臣·宁雪币： 154 活跃值： (226) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 16 楼 2019-5-21 16:41 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 17 楼最后一个问题，我的系统是Win 8 X64。出现这个错误。是什么Win 8不能脱壳吗？ 2019-5-23 15:43 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 18 楼 mb_qmxsyypu 最后一个问题，我的系统是Win 8  X64。出现这个错误。是什么Win 8不能脱壳吗？最后于 2019-5-24 17:31 被从黎明到衰落编辑，原因： 2019-5-23 22:33 0
Hasic 雪币： 612 活跃值： (479) 能力值： ( LV3，RANK：30 ) 在线值：发帖 13 回帖 29 粉丝 17 关注私信	Hasic 19 楼从黎明到衰落 mb_qmxsyypu 最后一个问题，我的系统是Win 8&nbsp; X64。出现这个错误。是什么Win 8不能脱壳吗？ MOV dwGetAPIAddr, 001D0474 // 获取 API 地址的地方 MOV dwWriteIATAddr, 001D0897 // 填充 IAT 的地方这两个地址是 virtualalloc动态分配的，每次启动的地址都不一样分配内存的代码在 0047A37D \| FFD0 \| call eax \|调用virtualalloc 2019-7-15 02:59 0
似水、流年雪币： 1 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	似水、流年 20 楼不成功用F7从头跑到尾成功了比你这方法好多了 2019-11-13 22:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

从黎明到衰落

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
大道在我雪币： 8387 活跃值： (4961) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 211 粉丝 43 关注私信	大道在我 2 楼不错有收获 2018-4-5 20:45 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 3 楼大道在我不错有收获[em 4 6] 最后于 2018-4-5 20:57 被从黎明到衰落编辑，原因： 2018-4-5 20:57 0
xiaohang 雪币： 2155 活跃值： (3216) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 5 楼继续努力啊 2018-4-9 09:58 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 6 楼 xiaohang 继续努力啊[em_13] 谢谢鼓励! 2018-4-9 10:30 0
米捉鸡雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	米捉鸡 7 楼 “2.在0x2F0895这个地方下断用run跟踪F7跑一下(因为第一种方法没什么通用规律可言,只能一步一步跟踪,所以就详述第二种方法了,但是单步F7总是万能的^.^)” 这里下断点的地址应该是0x1D0895吧？ 2018-4-10 09:49 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 8 楼米捉鸡 “2.在0x2F0895这个地方下断用run跟踪F7跑一下(因为第一种方法没什么通用规律可言,只能一步一步跟踪,所以就详述第二种方法了,但是单步F7总是万能的^.^)” 这里下断点的地址应该是0x1 ... 嗯!是的谢谢指正,已修改 2018-4-10 10:26 0
米捉鸡雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	米捉鸡 9 楼从黎明到衰落嗯!是的谢谢指正,已修改[em_13] 大佬，你给的脱壳的代码要怎么编译啊？masm吗？ 2018-4-10 10:55 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 10 楼米捉鸡大佬，你给的脱壳的代码要怎么编译啊？masm吗？可以用asm，或者保存为txt文本也可以，我的脚本编译方式已经贴图到脚本代码下面最后于 2018-4-10 21:22 被从黎明到衰落编辑，原因： 2018-4-10 21:19 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 11 楼我以为科锐学员发的呢看到下面一看15pb 2018-10-20 01:43 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 12 楼最后于 2018-10-20 01:45 被养乐多A编辑，原因：发错了 2018-10-20 01:44 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 13 楼请问楼主，这怎么解决，直接跑你的脚本，出来还是加密的，这就是入口OEP吗？那请问怎么解决，然后我跟着后续步骤，用importREC修复也不成功，生成的exe也不能跑 2019-5-19 14:17 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 14 楼 mb_qmxsyypu 请问楼主，这怎么解决，直接跑你的脚本，出来还是加密的，这就是入口OEP吗？那请问怎么解决，然后我跟着后续步骤，用importREC修复也不成功，生成的exe也不能跑嗯，是的你按一下Ctrl+A 2019-5-20 11:07 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 15 楼从黎明到衰落嗯，是的你按一下Ctrl+A 好的，谢谢 2019-5-20 22:26 0
采臣·宁雪币： 154 活跃值： (226) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 16 楼 2019-5-21 16:41 0
mb_qmxsyypu 雪币： 42 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_qmxsyypu 17 楼最后一个问题，我的系统是Win 8 X64。出现这个错误。是什么Win 8不能脱壳吗？ 2019-5-23 15:43 0
从黎明到衰落雪币： 5611 活跃值： (1444) 能力值： ( LV4，RANK：45 ) 在线值：发帖 6 回帖 38 粉丝 5 关注私信	从黎明到衰落 1 18 楼 mb_qmxsyypu 最后一个问题，我的系统是Win 8  X64。出现这个错误。是什么Win 8不能脱壳吗？最后于 2019-5-24 17:31 被从黎明到衰落编辑，原因： 2019-5-23 22:33 0
Hasic 雪币： 612 活跃值： (479) 能力值： ( LV3，RANK：30 ) 在线值：发帖 13 回帖 29 粉丝 17 关注私信	Hasic 19 楼从黎明到衰落 mb_qmxsyypu 最后一个问题，我的系统是Win 8&nbsp; X64。出现这个错误。是什么Win 8不能脱壳吗？ MOV dwGetAPIAddr, 001D0474 // 获取 API 地址的地方 MOV dwWriteIATAddr, 001D0897 // 填充 IAT 的地方这两个地址是 virtualalloc动态分配的，每次启动的地址都不一样分配内存的代码在 0047A37D \| FFD0 \| call eax \|调用virtualalloc 2019-7-15 02:59 0
似水、流年雪币： 1 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	似水、流年 20 楼不成功用F7从头跑到尾成功了比你这方法好多了 2019-11-13 22:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]记一个简单未知壳的脱壳笔记和脚本

这个时候有两种办法

从OEP处将程序dump出来

然后用imporREC修复一下dump出来程序的导入表就可以了

完成