-
-
脱壳之未知加密壳
-
发表于: 2018-12-20 09:30
-
拿到一个程序之后首先用PEID查看一下有什么有用的信息。
只能发现链接器版本是VC6.0。根据经验可以推论出此程序的OEP特征。
平衡堆栈的汇编代码:SUB esp,0x58
第一个调用的函数是:GetVersion()。
类似的程序特征如下图。
程序入口有标准的pushad/pushfd,使用ESP定律下硬件执行断点。
运行之后依次找到pushfd pushad之后,单步几下就会到达oep位置。
到达程序入口点,ctrl+A进行分析之后发现,第一个函数没有显示Getversion()。推测可能被加密了。
壳当中生成加密IAT的步骤是:
获取原始IAT的函数地址,并保存到一定位置。
申请空间,构造新的IAT函数。
原始函数地址填充代码段,构造新IAT函数代码进行加密。
将新构造的函数地址填充到IAT表。
跟进去这个地址查看一下,发现返回值弹出真正的函数地址。
设置硬件断点,重新运行程序。
断到壳代码中填充IAT表的地方。
写入IAT的地方是一个循环,包括获取原始函数地址,函数地址被拷贝到新的代码段中,然后将新的代码段地址写入IAT。
首先在填充IAT处,下断点,ctrl+F11,进行run跟踪。
获取到原始函数地址。
继续往上查看EAX来自于哪。
将原始函数地址写入到代码段。
我们要做的任务就是把获取原始函数的地址填写到IAT中。
通过写脚本来运行。
//定义变量 VAR dwGetAPIAddr VAR dwSetIATAddr VAR dwOEP VAR dwTep MOV dwGetIATAddr,001D0474 // 获取 API 地址的地方 MOV dwSetIATAddr,001D0897 // 填充 IAT 的地方 MOV dwOEP, 0047148B // OEP //去除断点 BC BPHWC BPMC // 设置断点 BPHWS dwOEP, "x" BPHWS dwGetIATAddr,"x" BPHWS dwSetIATAddr ,"x" //构造循环 LOOP1: RUN //运行程序 //判断是否是获取API的地方 cmp eip, dwGetAPIAddr JNZ SIGN1 mov dwTep,eax //将原始函数地址用一个临时变量保存 jmp LOOP1 //判断是否是填充API的地方 SIGN1: cmp eip, dwSetIATAddr JNZ SIGN2 mov [edx],dwTep //将原始函数地址写入IAT表 jmp LOOP1 //判断是否为OEP SIGN2: cmp eip, dwOEP //到达OEP处退出 JZ EXIT jmp LOOP1 //结束 EXIT: MSG "IAT解密完成"
脚本运行成功界面
最后需要dump文件,修改输入表。
运行成功界面。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我猜他是猜的的? |
|
|
|
|
|
|
|
|
|
|
|
点赞学习了
|
|
|
学习了
|
|
|
|
|
|
|
|
|
|
|
|
|
