ASProtect.SKE.2.11 stolen code解密
关于ASProtect.SKE.2.11 stolen code方面的文章已经很多了,今天我想再详细地说说它的细节,献给喜欢破解的兄弟们。
stolen code并不可怕!
ASProtect.SKE.2.11将入口处的一部分代码放到壳里了,看下面:
未加壳的入口点:
00401350 > 55 push ebp
00401351 8BEC mov ebp, esp
00401353 6A FF push -1
00401355 68 F8504000 push 004050F8
0040135A 68 1C204000 push 0040201C
0040135F 64:A1 0000000>mov eax, fs:[0]
00401365 50 push eax
00401366 64:8925 00000>mov fs:[0], esp
0040136D 83EC 58 sub esp, 58
00401370 53 push ebx
00401371 56 push esi
00401372 57 push edi
00401373 8965 E8 mov [ebp-18], esp
00401376 FF15 60504000 call [<&KERNEL32.GetVersion>] ;
加壳后的入口点:
00C70270 55 push ebp
00C70271 EB 02 jmp short 00C70275
00C70273 CD20 13EE83CD vxdjump CD83EE13
00C70279 AB stos dword ptr es:[edi]
00C7027A BD 0E954300 mov ebp, 43950E
00C7027F 8D6C24 3B lea ebp, [esp+3B]
00C70283 F3: prefix rep:
00C70284 EB 02 jmp short 00C70288
00C70286 CD20 8D6DC56A vxdcall 6AC56D8D
00C7028C FF64FF 35 jmp [edi+edi*8+35]
你可以看到它的很多地方经过变形已经面目全非,跳转不定。如果只是顺序乱的,就算有很多垃圾代码也是可以忍受的。但你看到的是不停地跳到壳里再跳回来的call:
00C702C9 /E9 040F0000 jmp 00C711D2
00C702CE |E8 2DFD0500 call 00CD0000 //call
00C702D3 |8B45 FC mov eax, [ebp-4]
………
00C702FF 68 6307C700 push 0C70763
00C70304 E8 F7FC0500 call 00CD0000 //call
00C70309 8D4475 63 lea eax, [ebp+esi*2+63]
看到call 00CD0000了吗?
在被偷的这些代码中有很多这样的call,它们与未被偷部分代码里的call不同:
未被偷部分代码里的call:
0040113D |. 51 push ecx
0040113E |. E8 BDEE8800 call 00C90000
00401143 |. EF out dx, eax
这些call 00C90000是Advanced Import protection保护(对系统函数call的加密)
被偷部分代码里的call:
00C702FF 68 6307C700 push 0C70763
00C70304 E8 F7FC0500 call 00CD0000
00C70309 8D4475 63 lea eax, [ebp+esi*2+63] //call
这些call 00CD0000实际上是代码变形!!!!
进入call 00CD0000:
00C7079E E8 5DF80500 call 00CD0000
{
//第一层
00CD0000 F2: prefix repne:
00CD0001 EB 01 jmp short 00CD0004
00CD0003 9A 509C3344 242>call far 2824:44339C50
00CD000A 334424 08 xor eax, [esp+8]
00CD000E 83EC 20 sub esp, 20
00CD0011 81F0 8C87B250 xor eax, 50B2878C
。。。。
一路F7,基本是些pushad,pushfd的变形
00CD0151 C1C0 B5 rol eax, 0B5
00CD0154 334424 08 xor eax, [esp+8]
00CD0158 58 pop eax
00CD0159 FFD0 call eax //
{
//第二层
一路F8来到一个循环:
00A88A87 8B45 F8 mov eax, [ebp-8]
00A88A8A 0FB600 movzx eax, byte ptr [eax]
00A88A8D 8B5483 40 mov edx, [ebx+eax*4+40]
00A88A91 8BC6 mov eax, esi
00A88A93 FFD2 call edx
00A88A95 3B45 FC cmp eax, [ebp-4]
00A88A98 75 1A jnz short 00A88AB4
00A88A9A 8B45 10 mov eax, [ebp+10]
00A88A9D 50 push eax
00A88A9E 8B45 14 mov eax, [ebp+14]
00A88AA1 50 push eax
00A88AA2 E8 19FAFFFF call 00A884C0
00A88AA7 50 push eax
00A88AA8 8BCE mov ecx, esi
00A88AAA 8B55 18 mov edx, [ebp+18]
00A88AAD 8BC3 mov eax, ebx
00A88AAF E8 D4FDFFFF call 00A88888
00A88AB4 4F dec edi
00A88AB5 0373 6C add esi, [ebx+6C]
00A88AB8 85FF test edi, edi
00A88ABA ^ 77 CB ja short 00A88A87
在00A88AAF call 00A88888上F4
00A88AAF E8 D4FDFFFF call 00A88888 //F7
{
00A88888 55 push ebp
00A88889 8BEC mov ebp, esp
…….
一路F8来到:
00A888CC 8A43 01 mov al, [ebx+1]
00A888CF 8B55 F8 mov edx, [ebp-8]
00A888D2 8B5482 40 mov edx, [edx+eax*4+40]
00A888D6 8BC6 mov eax, esi
00A888D8 FFD2 call edx
***********************************************************
00A888D8处call edx返回后有4种情况:
0: call变形
1: jmp变形
2: jxx条件跳转变形
3: cmp x , y
jxx z 变形
***********************************************************
下面分别介绍:
0情况:
对象004013AA E8 160B0000 call 00401EC5这样的用户调用变形
00A888DA 2C 02 sub al, 2
00A888DC 72 12 jb short 00A888F0
00A888F0 8B45 F8 mov eax, [ebp-8]
00A888F3 8B50 68 mov edx, [eax+68]
00A888F6 8BC2 mov eax, edx
00A888F8 03C7 add eax, edi
00A888FA 83F8 FF cmp eax, -1
00A888FD 75 10 jnz short 00A8890F
//////////
00A888FA cmp eax, -1处:
若eax == -1:没有对call(call 00401EC5)里的call做进一步处理,
该call 00CD0000返回后到达call 00401EC5里的第一条指令。
若eax != -1:该call里面还有处理了的call,该call 00CD0000返回后到达call 00401EC5里的第一条指令,不过第一条指令是在壳里。
1情况:
Jmp变形很简单,到达:
00A8890F 8B55 F8 mov edx, [ebp-8]
00A88912 0342 18 add eax, [edx+18]
00A88915 E9 B5000000 jmp 00A889CF
在00A88912处eax可得跳转地址
2情况:
Jxx变形
00A88925 8B5482 40 mov edx, [edx+eax*4+40]
00A88929 8BC6 mov eax, esi
00A8892B FFD2 call edx
00A8892D 8BD8 mov ebx, eax
00A8892F 8B4D 10 mov ecx, [ebp+10]
00A88932 8BD3 mov edx, ebx
00A88934 8B45 F8 mov eax, [ebp-8]
00A88937 E8 D4FBFFFF call 00A88510
00A8893C 84C0 test al, al
00A8893E 74 17 je short 00A88957
到达00A8892B处call edx返回后是跳转类型:
eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73…..
在00A88937 call 00A88510进行比较
00A8893E处如果不跳的话可来到:
00A88949 0345 F4 add eax, [ebp-C]
00A8894C 8B55 F8 mov edx, [ebp-8]
00A8894F 0342 68 add eax, [edx+68]
00A88952 EB 7B jmp short 00A889CF
00A8894F处eax就是原jxx跳后的地址。
跳的话可来到:
00A88957 8B45 F8 mov eax, [ebp-8]
00A8895A 8B40 18 mov eax, [eax+18]
00A8895D 03C7 add eax, edi
00A8895F 8B55 F8 mov edx, [ebp-8]
00A88962 0342 68 add eax, [edx+68]
00A88965 EB 68 jmp short 00A889CF
00A88962处eax就是原jxx不跳后的地址。
3情况:
cmp x , y
jxx z 变形
00A888DA 2C 02 sub al, 2
00A888DC 72 12 jb short 00A888F0
00A888DE 74 3D je short 00A8891D
00A888E0 FEC8 dec al
00A888E2 0F84 82000000 je 00A8896A
00A8896A 8BCE mov ecx, esi
00A8896C 8B55 0C mov edx, [ebp+C]
00A8896F 8B45 F8 mov eax, [ebp-8]
00A88972 E8 D5FDFFFF call 00A8874C //F7
{
00A8874C 53 push ebx
00A8874D 56 push esi
00A8874E 57 push edi
……F8
00A88768 33C0 xor eax, eax
00A8876A 8A46 07 mov al, [esi+7]
00A8876D 8B5483 40 mov edx, [ebx+eax*4+40]
00A88771 8BC7 mov eax, edi
00A88773 FFD2 call edx
如果x为内存操作数([00401235]),该call求出00401235,否则为0
00A88775 894424 04 mov [esp+4], eax
00A88779 33C0 xor eax, eax
00A8877B 8A46 05 mov al, [esi+5]
00A8877E 8B5483 40 mov edx, [ebx+eax*4+40]
00A88782 8BC7 mov eax, edi
00A88784 FFD2 call edx
如果x为寄存器,该call求出哪个寄存器(EXX),否则为大于8的值
(0=eax,1=ecx,2=edx,3=ebx,4=esp,5=ebp,6=esi,7=edi)
00A88786 8BD0 mov edx, eax
00A88788 80EA 08 sub dl, 8
00A8878B 0F92C2 setb dl
00A8878E 80FA 01 cmp dl, 1
00A88791 75 11 jnz short 00A887A4
若x不是寄存器跳00A887A4(该地址接下来处理y)
00A88793 8BC8 mov ecx, eax
00A88795 8B1424 mov edx, [esp]
00A88798 8BC3 mov eax, ebx
00A8879A E8 75020000 call 00A88A14
该call把x EXX中值取出
00A8879F 8BE8 mov ebp, eax
00A887A1 EB 01 jmp short 00A887A4
00A887A4 33C0 xor eax, eax
00A887A6 8A46 08 mov al, [esi+8]
00A887A9 8B5483 40 mov edx, [ebx+eax*4+40]
00A887AD 8BC7 mov eax, edi
00A887AF FFD2 call edx
如果y为内存操作数([00401235]),该call求出00401235,如果y为直接操作数(3D),该call求出3D,否则为0
00A887B1 894424 08 mov [esp+8], eax
00A887B5 33C0 xor eax, eax
00A887B7 8A46 06 mov al, [esi+6]
00A887BA 8B5483 40 mov edx, [ebx+eax*4+40]
00A887BE 8BC7 mov eax, edi
00A887C0 FFD2 call edx
如果y为寄存器,该call求出哪个寄存器(EXX),否则为大于8的值
00A887C2 8BD0 mov edx, eax
00A887C4 80EA 08 sub dl, 8
00A887C7 0F92C2 setb dl
00A887CA 80FA 01 cmp dl, 1
00A887CD 75 13 jnz short 00A887E2 //
00A887CF 8BC8 mov ecx, eax
00A887D1 8B1424 mov edx, [esp]
00A887D4 8BC3 mov eax, ebx
00A887D6 E8 39020000 call 00A88A14
该call把y EXX中值取出
00A887DB 894424 0C mov [esp+C], eax
00A887DF /EB 01 jmp short 00A887E2
00A887E2 036C24 04 add ebp, [esp+4]
00A887E2 036C24 04 add ebp, [esp+4]
00A887E6 8B4424 08 mov eax, [esp+8]
00A887EA 034424 0C add eax, [esp+C]
00A887EE 894424 10 mov [esp+10], eax
00A887F2 EB 01 jmp short 00A887F5
00A887F5 33C0 xor eax, eax
00A887F7 8A46 09 mov al, [esi+9]
00A887FA 8B5483 40 mov edx, [ebx+eax*4+40]
00A887FE 8BC7 mov eax, edi
00A88800 FFD2 call edx
*******************************************
该call很有意思,返回后有5种情况:
若eax=0: cmp dword ptr [x], y
若eax=1: cmp x,[ y]
若eax=2: cmp byte ptr [x], y
若eax=3: cmp x,byte ptr [ y]
若eax=4: cmp x, y
*******************************************
……
00A88862 8B5424 10 mov edx, [esp+10]
00A88866 8BC5 mov eax, ebp
00A88868 E8 CBFEFFFF call 00A88738
该call把比较x,y,得到标志位
00A8886D 83C4 14 add esp, 14
00A88870 5D pop ebp
00A88871 5F pop edi
00A88872 5E pop esi
00A88873 5B pop ebx
00A88874 C3 retn
}
00A8897D 33C0 xor eax, eax
00A8897F 8A43 04 mov al, [ebx+4]
00A88982 8B55 F8 mov edx, [ebp-8]
00A88985 8B5482 40 mov edx, [edx+eax*4+40]
00A88989 8BC6 mov eax, esi
00A8898B FFD2 call edx
该call返回后是跳转类型:
eax = 0,1,2,3,4,5….分别对应机器码70,71,72,73…..
00A8898D 8BD8 mov ebx, eax
00A8898F 8B4D 10 mov ecx, [ebp+10]
00A88992 8BD3 mov edx, ebx
00A88994 8B45 F8 mov eax, [ebp-8]
00A88997 E8 74FBFFFF call 00A88510
在00A88937 call 00A88510进行比较
00A8899C 84C0 test al, al
00A8899E 74 17 je short 00A889B7
00A8893E处如果不跳的话可来到:
00A88949 0345 F4 add eax, [ebp-C]
00A8894C 8B55 F8 mov edx, [ebp-8]
00A8894F 0342 68 add eax, [edx+68]
00A88952 EB 7B jmp short 00A889CF
00A8894F处eax就是原jxx跳后的地址。
跳的话可来到:
00A88957 8B45 F8 mov eax, [ebp-8]
00A8895A 8B40 18 mov eax, [eax+18]
00A8895D 03C7 add eax, edi
00A8895F 8B55 F8 mov edx, [ebp-8]
00A88962 0342 68 add eax, [edx+68]
00A88965 EB 68 jmp short 00A889CF
00A88962处eax就是原jxx不跳后的地址。
}//第二层返回
}//第一层返回
具体修复方法相信大家看了后比我清楚,不多说了。。。。。。
ASProtect.SKE.2.11到此已基本脱壳成功!
我的脱壳经历:
1. 找OEP
2. 还原IAT
3. 到达OEP后修复Advanced Import protection
4. 到达OEP后修复stolen code里的call变形
5. DUMP
这其中还有一个要提的是:我脱的那个软件就是个贱!加壳时使用了次数限制,为此花了我两三个小时来解决它。大家遇到时小心。。。。。。
Wak 4.21 2006
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)