-
-
[翻译]haggar教程:PESpin v1.0 , 1.1 & 1.3 - manually unpacking
-
发表于: 2019-2-16 17:20 7683
-
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
PESpin v1.x - 手动脱壳
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
原文地址:http://www.reversing.be/article.php?story=20050811173217736
嗨,欢迎来到我的新脱壳教程。
本教程是关于手动脱壳PESpin 1.x版本,更准确地说是1.0、1.1和1.3版本。但是,本教程有一些限制:
- 不会叙述PESpin v0.7,因为不需要这样做。如果您知道如何脱壳版本1.3,那么您就知道如何脱壳所有以前的版本。
- 版本1.2是私有版本,不能公开,所以我无法对这个版本进行检测。
- PESpin v1.3有高级代码重定向选项,这在公共版本中不可用,因此本教程将不涵盖这种保护(如果您发现目标包含该选项,请在论坛上给我发送一个PM)。
- 本教程中所有已脱壳的目标只在解包所在的计算机上运行。关于这一点,请阅读第一个教程。
教程面向高级初学者。您必须具备有关PE文件结构和如何使用脱壳工具的基本知识。
内容:
1. 工具和使用材料
2. 教程 1 - PESpin v1.0
3. 教程 2 - PESpin v1.1
4. 教程 3 - PESpin v1.3
5. 最后的话和致谢
1. 工具和使用材料
- OllyDbg 1.10
- LordPE
- Hex Editor
- 目标和材料: http://www.reversing.be/binaries/articles/20050811172936661.rar(图片不清晰请点此下载原作者Word文档)
在这个档案中,你会发现两个文件夹:“PESpin脚本”和“PESpin签名”。第一个文件夹包含一些用于解包PESpin的有用脚本。这些脚本离完美还很远,但它们能帮你一点忙。稍后再了解更多信息,或者只需在记事本中打开它们并阅读信息即可。在第二个文件夹中,您将找到PEID的签名。如果用peid扫描一些加了壳PESpin 1.x版本的文件,它将无法正确识别。只需将这些签名复制粘贴到peid文件夹中的userdb.txt,对压缩文件使用外部扫描,peid就可以识别真正的PESpin版本。如果你注意到一些错误,请发邮件或者PM给我。
如果您想更好地理解本教程,您应该阅读一些优秀的论文:
- Descryption of PE format(解密 PE 格式) by Michael J.O'Leary ; 我认为这是可以在BIW旧网站发现的。
- PORTABLE EXECUTABLE FILE FORMAT(可移植可执行文件格式) by Goppit ; 在这里找到它 http://cracking.accessroot.com/ , 它是6兆大的文件,值得下载。
- 阅读我以前的教程,了解如何解包PESpin 0.3,因为新版本在以前的版本中得到了改进。
2. 教程 1 - PESpin v1.0
在这个版本中,PESpin有两个新技巧:API bp检查和代码重定向。抓取第一个目标packed1.0.exe并在olly中打开它(设置为忽略所有异常)。查找oep和阻止输入表重定向与我们在0.3版本中所做的类似。
保护壳会检查API断点,打开“可执行模块”窗口,选择kernel32.dll并单击“查看名称”。找到GetTickCount并双击它。您现在应该在Kernel32:
77E7A1EE > BA 0000FE7F MOV EDX,7FFE0000 77E7A1F3 8B02 MOV EAX,DWORD PTR DS:[EDX] 77E7A1F5 F762 04 MUL DWORD PTR DS:[EDX+4] 77E7A1F8 0FACD0 18 SHRD EAX,EDX,18 77E7A1FC C3 RETN
77E7A1EE > BA 0000FE7F MOV EDX,7FFE0000 77E7A1F3 8B02 MOV EAX,DWORD PTR DS:[EDX] 77E7A1F5 F762 04 MUL DWORD PTR DS:[EDX+4] 77E7A1F8 0FACD0 18 SHRD EAX,EDX,18 77E7A1FC C3 RETN
把bp放在retn操作码(因为有API bp检查,不能放头部)上并运行目标程序。您将中断在kernel中的断点bp。删除BP并返回目标代码:
00409D17 8BD8 MOV EBX,EAX 00409D19 F7D3 NOT EBX 00409D1B 33D8 XOR EBX,EAX 00409D1D 43 INC EBX ... ...
00409D17 8BD8 MOV EBX,EAX 00409D19 F7D3 NOT EBX 00409D1B 33D8 XOR EBX,EAX 00409D1D 43 INC EBX ... ...
现在向上滚动,找到这个地方:
00409109 F9 STC ;也可能是 CLC (F8hex).(二进制查找:F9 72为无保护;F8 72为有保护,要NOP掉两J之间字节) 0040910A 72 0D JB SHORT packed1_.00409119 ;这里下断!!! 0040910C 8D85 0660271E LEA EAX,DWORD PTR SS:[EBP+1E276006] 00409112 2D 8417E71D SUB EAX,1DE71784 00409117 FFD0 CALL EAX ;调用计时器函数。 00409119 EB 01 JMP SHORT packed1_.0040911C
这是跳到OEP之前的最后一个地方,就像0.3版一样,除了这里有点不同:如果目标用定时器选项打包,那么将有clc=F8hex而不是第一个stc操作码。在这种情况下,将不执行JB,程序流将继续在创建计时器线程的地方校准EAX。这个地方对于所有下一个PESpin版本都是一样的。你只要把bp放在jb操作码上(不要运行目标)。再次向上滚动并查看这部分代码:
00409109 F9 STC ;也可能是 CLC (F8hex).(二进制查找:F9 72为无保护;F8 72为有保护,要NOP掉两J之间字节) 0040910A 72 0D JB SHORT packed1_.00409119 ;这里下断!!! 0040910C 8D85 0660271E LEA EAX,DWORD PTR SS:[EBP+1E276006] 00409112 2D 8417E71D SUB EAX,1DE71784 00409117 FFD0 CALL EAX ;调用计时器函数。 00409119 EB 01 JMP SHORT packed1_.0040911C
这是跳到OEP之前的最后一个地方,就像0.3版一样,除了这里有点不同:如果目标用定时器选项打包,那么将有clc=F8hex而不是第一个stc操作码。在这种情况下,将不执行JB,程序流将继续在创建计时器线程的地方校准EAX。这个地方对于所有下一个PESpin版本都是一样的。你只要把bp放在jb操作码上(不要运行目标)。再次向上滚动并查看这部分代码:
0040905F JMP DWORD PTR SS:[ESP-4] ;重要跳转,这里下断。 00409063 CALL FAR EB00:000003E8 ... ... ... ... 0040909B ??? 0040909C CALL packed1_.004089F2 004090A1 CALL packed1_.004090A9
0040905F JMP DWORD PTR SS:[ESP-4] ;重要跳转,这里下断。 00409063 CALL FAR EB00:000003E8 ... ... ... ... 0040909B ??? 0040909C CALL packed1_.004089F2 004090A1 CALL packed1_.004090A9
在那个跳转下断并运行目标。当你中断它,你会看到跳转到409022地址。该跳转对IAT重定向负责。如果没有IAT重定向,该跳转将跳转到它调用的40909C地址,并跳过所有重定向过程。为了避免IAT重定向,您只需在该跳转和40909C的call之间patch掉所有字节(您也可以对它本身进行patch):
0040905F NOP 00409060 NOP ... ... ... 0040909A NOP 0040909B NOP 0040909C CALL packed1_.004089F2 004090A1 CALL packed1_.004090A9 004090A6 JMP SHORT packed1_.004090AC 现在按下F9,中断在前面设置的断点: 00409109 STC ;F9(Hex) 0040910A JB SHORT packed1_.00409119 ;你在这里!!! 0040910C LEA EAX,DWORD PTR SS:[EBP+1E276006] 00409112 SUB EAX,1DE71784 00409117 CALL EAX 00409119 JMP SHORT packed1_.0040911C
现在,如果第一个操作码是clc(替代STC),请在0040910c、00409112和00409117处(两J之间)修补所有指令,以防止调用计时器函数。其实,你总是可以修补那个指令,在这种情况下它不会改变任何东西。然后向下滚动搜索popad操作码。您将看不到它,所以在一些指令中搜索61hex字节。我应该在这里:
0040905F NOP 00409060 NOP ... ... ... 0040909A NOP 0040909B NOP 0040909C CALL packed1_.004089F2 004090A1 CALL packed1_.004090A9 004090A6 JMP SHORT packed1_.004090AC 现在按下F9,中断在前面设置的断点: 00409109 STC ;F9(Hex) 0040910A JB SHORT packed1_.00409119 ;你在这里!!! 0040910C LEA EAX,DWORD PTR SS:[EBP+1E276006] 00409112 SUB EAX,1DE71784 00409117 CALL EAX 00409119 JMP SHORT packed1_.0040911C
现在,如果第一个操作码是clc(替代STC),请在0040910c、00409112和00409117处(两J之间)修补所有指令,以防止调用计时器函数。其实,你总是可以修补那个指令,在这种情况下它不会改变任何东西。然后向下滚动搜索popad操作码。您将看不到它,所以在一些指令中搜索61hex字节。我应该在这里:
00409278 E8 616A00EB CALL EB40FCDE 修补第一个字节,将bp放在popad上并运行: 00409278 90 NOP ;Patch这个字节. 00409279 61 POPAD ;这里下断 0040927A C1E2 F3 SHL EDX,0F3 0040927D 23D0 AND EDX,EAX 0040927F 0FC1D1 XADD ECX,EDX 00409282 BA 69533D94 MOV EDX,943D5369 00409287 69C8 262C4AF2 IMUL ECX,EAX,F24A2C26 0040928D 11C2 ADC EDX,EAX 0040928F 0FBDD0 BSR EDX,EAX 00409292 C7C2 BDCC6DB9 MOV EDX,B96DCCBD 00409298 42 INC EDX 00409299 FFC2 INC EDX 0040929B C1D2 83 RCL EDX,83 0040929E 0FBCC8 BSF ECX,EAX 004092A1 23D0 AND EDX,EAX 004092A3 39C2 CMP EDX,EAX 004092A5 81E9 B576A23F SUB ECX,3FA276B5 004092AB EB 01 JMP SHORT packed1_.004092AE 004092AD E7 0F OUT 0F,EAX 004092AF AF SCAS DWORD PTR ES:[EDI] 004092B0 C8 0FB7D0 ENTER 0B70F,0D0 004092B4 C7C1 0EE985D6 MOV ECX,D685E90E 004092BA F3: PREFIX REP: 004092BB F7C1 1E8ABDAB TEST ECX,ABBD8A1E 004092C1 -E9 3A7DFFFF JMP packed1_.00401000
00409278 E8 616A00EB CALL EB40FCDE 修补第一个字节,将bp放在popad上并运行: 00409278 90 NOP ;Patch这个字节. 00409279 61 POPAD ;这里下断 0040927A C1E2 F3 SHL EDX,0F3 0040927D 23D0 AND EDX,EAX 0040927F 0FC1D1 XADD ECX,EDX 00409282 BA 69533D94 MOV EDX,943D5369 00409287 69C8 262C4AF2 IMUL ECX,EAX,F24A2C26 0040928D 11C2 ADC EDX,EAX 0040928F 0FBDD0 BSR EDX,EAX 00409292 C7C2 BDCC6DB9 MOV EDX,B96DCCBD 00409298 42 INC EDX 00409299 FFC2 INC EDX 0040929B C1D2 83 RCL EDX,83 0040929E 0FBCC8 BSF ECX,EAX 004092A1 23D0 AND EDX,EAX 004092A3 39C2 CMP EDX,EAX 004092A5 81E9 B576A23F SUB ECX,3FA276B5 004092AB EB 01 JMP SHORT packed1_.004092AE 004092AD E7 0F OUT 0F,EAX 004092AF AF SCAS DWORD PTR ES:[EDI] 004092B0 C8 0FB7D0 ENTER 0B70F,0D0 004092B4 C7C1 0EE985D6 MOV ECX,D685E90E 004092BA F3: PREFIX REP: 004092BB F7C1 1E8ABDAB TEST ECX,ABBD8A1E 004092C1 -E9 3A7DFFFF JMP packed1_.00401000
你现在是在壳保护代码的最后一部分。在这里,您可以找到与垃圾代码混合的被盗OEP字节。我打包文件时并没有选择删除OEP,所以这里只有一些垃圾可以让你迷惑。无论你有没有偷过oep,当你到达popad之后的第一个操作码时,你总是可以转储文件,它将正常工作。无所谓oep在壳代码中、目标执行从壳开始。但是如果你想要的话,你可以找到被盗的字节,把它恢复到原来的位置,然后从那里转储。现在,只需跟踪,直到到达某个跳转,该跳转指向代码部分:
004092C1 -E9 3A7DFFFF JMP packed1_.00401000 在这种情况下,跳转直接进入OEP: 00401000 . 6A 00 PUSH 0 00401002 . E8 F1F1FFFF CALL packed1_.004001F8 00401007 . A3 CA204000 MOV DWORD PTR DS:[4020CA],EAX 0040100C . 6A 00 PUSH 0 0040100E .-E9 EBF1FFFF JMP packed1_.004001FE 00401013 . E8 F1F1FFFF CALL packed1_.00400209 00401018 . 0BC0 OR EAX,EAX 0040101A . 74 01 JE SHORT packed1_.0040101D 0040101C . C3 RETN 0040101D > C705 64204000 >MOV DWORD PTR DS:[402064],4003 00401027 . C705 68204000 >MOV DWORD PTR DS:[402068],packed1_.00401>
如果您转储文件,它将无法正常工作。 原因是代码重定向。 注意一些CALL和JMP引导的地方:
004092C1 -E9 3A7DFFFF JMP packed1_.00401000 在这种情况下,跳转直接进入OEP: 00401000 . 6A 00 PUSH 0 00401002 . E8 F1F1FFFF CALL packed1_.004001F8 00401007 . A3 CA204000 MOV DWORD PTR DS:[4020CA],EAX 0040100C . 6A 00 PUSH 0 0040100E .-E9 EBF1FFFF JMP packed1_.004001FE 00401013 . E8 F1F1FFFF CALL packed1_.00400209 00401018 . 0BC0 OR EAX,EAX 0040101A . 74 01 JE SHORT packed1_.0040101D 0040101C . C3 RETN 0040101D > C705 64204000 >MOV DWORD PTR DS:[402064],4003 00401027 . C705 68204000 >MOV DWORD PTR DS:[402068],packed1_.00401>
如果您转储文件,它将无法正常工作。 原因是代码重定向。 注意一些CALL和JMP引导的地方:
00401002 CALL packed1_.004001F8 ... 0040100E JMP packed1_.004001FE
它们指向的地址低于401000,这意味着PE头。 这不正常。 我会快速解释一下:
00401002 CALL packed1_.004001F8 ... 0040100E JMP packed1_.004001FE
它们指向的地址低于401000,这意味着PE头。 这不正常。 我会快速解释一下:
PESpin将加载所有段到内存中,解密并完成解包所需的所有操作。之后,PE头对任何事情都不再重要,所以它可以随心所欲地改变 - 它不会影响程序在内存中。 PESpin将采用这个事实的优点,它将用FFFFF填充PE头的一部分...(顺便说一句,它会破坏掉保存有段信息的PE头的一部分)。 然后它将在代码段搜索PUSH xxxxxxxx或CALL xxxxxxxx(也许是JMP)指令,因为它们长5个字节。 然后它将该操作码替换为一些JMP或CALL到PE头,它将放置原始指令并返回代码段(如果需要)。 指令必须长5个字节的原因是因为它们很容易用JMP操作码替换(它的长度为5个字节)。 我们来看两个例子:
a) CALL example(call-jmp):特征码#E8??????FF#---->处理:直接用后者替换前者
00401002 . E8 F1F1FFFF CALL packed1_.004001F8
此CALL指向PE头。 右键单击它并跟随它。 在那里你会发现原始的“被盗代码”:
00401002 . E8 F1F1FFFF CALL packed1_.004001F8
此CALL指向PE头。 右键单击它并跟随它。 在那里你会发现原始的“被盗代码”:
004001F8 -E9 09130000 JMP packed1_.00401506
所以你只需要用JMP 401506替换CALL 4001F8。如你所见,它非常简单。
004001F8 -E9 09130000 JMP packed1_.00401506
所以你只需要用JMP 401506替换CALL 4001F8。如你所见,它非常简单。
b) JMP example(JMP-PUSH):特征码#E9??????FF#---->处理:直接用后者替换前者
0040100E .-E9 EBF1FFFF JMP packed1_.004001FE
再次,跟随此跳转到PE头,您将看到被盗的原始代码:
0040100E .-E9 EBF1FFFF JMP packed1_.004001FE
再次,跟随此跳转到PE头,您将看到被盗的原始代码:
004001FE 68 F4204000 PUSH packed1_.004020F4
您将在像第一个示例中一样修复此问题,您放置PUSH 4020F4指令替换那个跳转。
004001FE 68 F4204000 PUSH packed1_.004020F4
您将在像第一个示例中一样修复此问题,您放置PUSH 4020F4指令替换那个跳转。
好的,你处理它并不难。 首个想法是“为什么要恢复那些代码,为什么不把它留在那里而一起dump它?”。 原因是PE头被破坏(部分信息被删除),我们不再拥有有效的PE文件。 如果我们从磁盘粘贴原始头,程序将跳转到它,它将找不到重定向的代码,因此结果是崩溃。 第二个想法是“但是有很多重定向的代码,如何解决所有这些问题?手动?我不会疯狂地在电脑前浪费一整夜!”。 其实,由于PE头的大小决定了重定向的代码数量可能有限,但这个数字也很大。 因此,要修复大量代码,我们将使用/编写Olly Script来自动执行作业。 这根本不难。 它应该是这样的:
- 首先,我们需要找到这样的JMP/CALL操作码。 我们的srcipt必须搜索以F结尾的JMP/CALL,因为这意味着它会跳转到后面。 因此搜索带有E9???????F或E8???????F字节的指令。
- 然后我们必须检查它是否跳转到PE头。 以我们的a) CALL example为例。 取CALL的地址=401002并取CALL值(E8后的四个字节,按相反顺序)FFFFF1F1。 现在相加这两个值401002 + FFFFF1F1 = 4001F3,如果结果在400000 <= RESULT <401000之间,那么你知道你在正确的位置。
- 然后,使用基本数学,您必须恢复原始操作码。 它不能被复制粘贴,必须进行计算。 这里需要基本的十六进制数学,很少的计算和一些时间。 之后,您将拥有完美的脚本。 如果你不(或不知道如何)自己做,你可以使用我的“PESpin - Code Fixer.txt”(包含在档案中)。
现在,如果你已完成所有操作,就像我写的那样,然后使用脚本来修复重定向代码,转储文件。 如果你运行它,你可能会得到错误消息,告诉你这个应用程序是如何无效的Win32应用程序。 别担心。 打开LordPE,转到选项并在重建PE下仅选中“验证PE”选项。 关闭选项,打开重建PE并打开我们的转储文件。 验证转储后,运行它,它将工作得很完美;)干得好! 你刚刚解压缩了PEspin v1.0。
这种方法适用于ASM和BC ++程序,但不适用于Delphi和MSVC ++。 原因是不同的IAT重定向,OllyDump插件无法处理。 这可以通过构建新的导入段来解决。 我们将在下一个教程中看到。
但是有一个原因就是为什么转储文件可能只能在解压缩文件的机器上运行。 如果你看看入口跳转,你会发现大多数跳转都是绝对跳转,跳转到内存中的指定位置。 因此,在另一台具有不同版本dll的计算机上,转储文件可能会崩溃。 这可以修复,但对于更大的文件,手动操作是不可能的。 这是所有PESpin版本的问题。
3. 教程 2 - PESpin v1.1
在这个版本中,一切都与1.0相同,除了这个带来了新选项 - CRYPT和CLEAR 守护。 那是什么? 简单,阅读PESpin的帮助文件:
CRYPT守护:
加密标记CRYPT_START和CRYPT_END之间的代码在文件保护过程中被加密,并且当执行受保护文件时,代码在使用之前被严密地解密,并在使用后立即再次加密(运行时防止转储)。
CLEAR守护:
CLEAR_START和CLEAR_END标记提供了在执行后删除代码块的功能。这些宏应该只放在应用程序中执行一次的代码区域。在受保护的应用程序中,任何尝试在这些宏中重新执行代码块都会导致异常。
这对我们来说不是什么大问题。 对于我们的第二个目标,我们将选择keygen.exe,它包含所有CLEAR和CRYPT选项(感谢detten;)。 查找OEP的过程与1.0版本中的完全相同,因此没有必要再将其全部写出。 简而言之; 不忽略所有异常,将bp放在GetTickCount API的末尾并运行目标,删除bp并返回目标代码。 但是......我们将遇到一个问题,我们将在所有PESpin 1.x版本中使用Delphi和MSVC ++目标。 问题是OllyDump无法重建IAT。 我们必须手动完成所有操作。 由于这个问题,我们必须知道我们的打包目标正在使用哪个dll。 让我们开始吧!
首先,我们将找到keygen.exe需要什么dll。 命令行中将bp放在LoadLibraryA(API中的最后一个RETN)上并运行目标。 你会在奇怪的地方中断(也许你的值不同):
77ED6FC4 >-E9 1860FB42 JMP BAE8CFE1 77ED6FC9 90 NOP 77ED6FCA 90 NOP 77ED6FCB 90 NOP 77ED6FCC 90 NOP 77ED6FCD 90 NOP 77ED6FCE 90 NOP 77ED6FCF 90 NOP 77ED6FD0 90 NOP 77ED6FD1 90 NOP 77ED6FD2 90 NOP 77ED6FD3 >-E9 7D61FB42 JMP BAE8D155 77ED6FD8 90 NOP 77ED6FD9 90 NOP 77ED6FDA 90 NOP 77ED6FDB 90 NOP 77ED6FDC 90 NOP 77ED6FDD 90 NOP 77ED6FDE 90 NOP 77ED6FDF 90 NOP
删除bp,打开内存窗口并在最后一节放置“访问内存bp”。 这是一个SFX。 现在按Shift + F9,你将返回到壳代码(然后删除mem bp):
77ED6FC4 >-E9 1860FB42 JMP BAE8CFE1 77ED6FC9 90 NOP 77ED6FCA 90 NOP 77ED6FCB 90 NOP 77ED6FCC 90 NOP 77ED6FCD 90 NOP 77ED6FCE 90 NOP 77ED6FCF 90 NOP 77ED6FD0 90 NOP 77ED6FD1 90 NOP 77ED6FD2 90 NOP 77ED6FD3 >-E9 7D61FB42 JMP BAE8D155 77ED6FD8 90 NOP 77ED6FD9 90 NOP 77ED6FDA 90 NOP 77ED6FDB 90 NOP 77ED6FDC 90 NOP 77ED6FDD 90 NOP 77ED6FDE 90 NOP 77ED6FDF 90 NOP
删除bp,打开内存窗口并在最后一节放置“访问内存bp”。 这是一个SFX。 现在按Shift + F9,你将返回到壳代码(然后删除mem bp):
0040D491 85C0 TEST EAX,EAX 0040D493 0F84 3F090000 JE keygen.0040DDD8 0040D499 E8 01000000 CALL keygen.0040D49F 0040D49E FF59 50 CALL FAR FWORD PTR DS:[ECX+50] 0040D4A1 51 PUSH ECX 0040D4A2 55 PUSH EBP 0040D4A3 810424 12374000 ADD DWORD PTR SS:[ESP],keygen.00403712 0040D4AA 814424 04 220000>ADD DWORD PTR SS:[ESP+4],22
我们在这里搜索什么? 如果您记得上一章,PESpin解密DLL名称,将其加载到内存中,然后删除它的名称。 我们现在在壳加载DLL的地方,我们将找到他删除DLL名称的地方。 我们将修补该擦除过程,以便稍后我们可以看到使用了什么DLL。 使用F7追踪,直到你到达(这是很多追踪):
0040D491 85C0 TEST EAX,EAX 0040D493 0F84 3F090000 JE keygen.0040DDD8 0040D499 E8 01000000 CALL keygen.0040D49F 0040D49E FF59 50 CALL FAR FWORD PTR DS:[ECX+50] 0040D4A1 51 PUSH ECX 0040D4A2 55 PUSH EBP 0040D4A3 810424 12374000 ADD DWORD PTR SS:[ESP],keygen.00403712 0040D4AA 814424 04 220000>ADD DWORD PTR SS:[ESP+4],22
我们在这里搜索什么? 如果您记得上一章,PESpin解密DLL名称,将其加载到内存中,然后删除它的名称。 我们现在在壳加载DLL的地方,我们将找到他删除DLL名称的地方。 我们将修补该擦除过程,以便稍后我们可以看到使用了什么DLL。 使用F7追踪,直到你到达(这是很多追踪):
0040D4F0 800B 00 OR BYTE PTR DS:[EBX],0 0040D4F3 74 0D JE SHORT keygen.0040D502 0040D4F5 8813 MOV BYTE PTR DS:[EBX],DL 0040D4F7 C1C2 04 ROL EDX,4 0040D4FA 75 01 JNZ SHORT keygen.0040D4FD 0040D4FC E8 43FF6424 CALL 24A5D444 0040D501 FC CLD 0040D502 93 XCHG EAX,EBX 0040D503 8B56 10 MOV EDX,DWORD PTR DS:[ESI+10]
0040D4F0 800B 00 OR BYTE PTR DS:[EBX],0 0040D4F3 74 0D JE SHORT keygen.0040D502 0040D4F5 8813 MOV BYTE PTR DS:[EBX],DL 0040D4F7 C1C2 04 ROL EDX,4 0040D4FA 75 01 JNZ SHORT keygen.0040D4FD 0040D4FC E8 43FF6424 CALL 24A5D444 0040D501 FC CLD 0040D502 93 XCHG EAX,EBX 0040D503 8B56 10 MOV EDX,DWORD PTR DS:[ESI+10]
这是删除DLL名称的地方。 走到这一行
0040D4F5 8813 MOV BYTE PTR DS:[EBX],DL
并在转储窗口中跟随它。 在那里你会看到KERNEL32.DLL的名字。 修补此操作码MOV BYTE PTR DS:[EBX],DL然后就运行目标。 我们的目标将开始,但这就是我们想要的。 进入转储窗口,在那里你会发现目标使用的所有dll:
0040D4F5 8813 MOV BYTE PTR DS:[EBX],DL
并在转储窗口中跟随它。 在那里你会看到KERNEL32.DLL的名字。 修补此操作码MOV BYTE PTR DS:[EBX],DL然后就运行目标。 我们的目标将开始,但这就是我们想要的。 进入转储窗口,在那里你会发现目标使用的所有dll:
00402102 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 00 F7 00 KERNEL32.DLL..÷. 00402112 00 00 00 00 00 00 00 00 00 00 C4 00 00 00 00 00 ..........?..... 00402122 00 00 00 00 00 00 00 00 00 00 00 00 C5 00 00 00 ............?... 00402132 00 00 00 00 00 00 00 00 CC 00 00 00 00 00 00 00 ........?....... 00402142 00 00 00 00 00 00 CC 00 00 00 00 00 00 00 00 00 ......?......... 00402152 00 00 D2 00 00 00 00 00 00 00 00 00 00 00 00 00 ..?............. 00402162 00 00 00 00 D3 00 00 00 00 00 00 00 00 00 00 00 ....?........... 00402172 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 00 00 ..........?..... 00402182 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 00 00 ..........?..... 00402192 00 00 00 00 00 00 00 00 00 00 00 00 55 53 45 52 ............USER 004021A2 33 32 2E 44 4C 4C 00 00 C3 00 00 00 00 00 00 00 32.DLL..?....... 004021B2 00 00 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 ............?... 004021C2 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 00 00 ..........?..... 004021D2 00 00 00 00 00 00 D3 00 00 00 00 00 00 00 00 00 ......?......... 004021E2 00 00 00 00 00 00 47 44 49 33 32 2E 44 4C 4C 00 ......GDI32.DLL. 004021F2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
我们的目标很小,它只使用kernel32.dll,user32.dll和gdi32.dll。 好! 现在我们将在Olly中重新启动目标并找到OEP。 将bp放在GetTickCount API中的最后一个RETN上,运行目标,删除bp并返回代码:
00402102 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 00 F7 00 KERNEL32.DLL..÷. 00402112 00 00 00 00 00 00 00 00 00 00 C4 00 00 00 00 00 ..........?..... 00402122 00 00 00 00 00 00 00 00 00 00 00 00 C5 00 00 00 ............?... 00402132 00 00 00 00 00 00 00 00 CC 00 00 00 00 00 00 00 ........?....... 00402142 00 00 00 00 00 00 CC 00 00 00 00 00 00 00 00 00 ......?......... 00402152 00 00 D2 00 00 00 00 00 00 00 00 00 00 00 00 00 ..?............. 00402162 00 00 00 00 D3 00 00 00 00 00 00 00 00 00 00 00 ....?........... 00402172 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 00 00 ..........?..... 00402182 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 00 00 ..........?..... 00402192 00 00 00 00 00 00 00 00 00 00 00 00 55 53 45 52 ............USER 004021A2 33 32 2E 44 4C 4C 00 00 C3 00 00 00 00 00 00 00 32.DLL..?....... 004021B2 00 00 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 ............?... 004021C2 00 00 00 00 00 00 00 00 00 00 D3 00 00 00 00 00 ..........?..... 004021D2 00 00 00 00 00 00 D3 00 00 00 00 00 00 00 00 00 ......?......... 004021E2 00 00 00 00 00 00 47 44 49 33 32 2E 44 4C 4C 00 ......GDI32.DLL. 004021F2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
我们的目标很小,它只使用kernel32.dll,user32.dll和gdi32.dll。 好! 现在我们将在Olly中重新启动目标并找到OEP。 将bp放在GetTickCount API中的最后一个RETN上,运行目标,删除bp并返回代码:
0040E4D8 8BD8 MOV EBX,EAX 0040E4DA F7D3 NOT EBX 0040E4DC 33D8 XOR EBX,EAX 0040E4DE 43 INC EBX 0040E4DF 68 87000000 PUSH 87 0040E4E4 59 POP ECX 0040E4E5 66:35 4C50 XOR AX,504C 0040E4E9 66:05 8911 ADD AX,1189 0040E4ED AA STOS BYTE PTR ES:[EDI] 0040E4EE EB 01 JMP SHORT keygen.0040E4F1 0040E4F0 68 499CC12C PUSH 2CC19C49 0040E4F5 24 06 AND AL,6
0040E4D8 8BD8 MOV EBX,EAX 0040E4DA F7D3 NOT EBX 0040E4DC 33D8 XOR EBX,EAX 0040E4DE 43 INC EBX 0040E4DF 68 87000000 PUSH 87 0040E4E4 59 POP ECX 0040E4E5 66:35 4C50 XOR AX,504C 0040E4E9 66:05 8911 ADD AX,1189 0040E4ED AA STOS BYTE PTR ES:[EDI] 0040E4EE EB 01 JMP SHORT keygen.0040E4F1 0040E4F0 68 499CC12C PUSH 2CC19C49 0040E4F5 24 06 AND AL,6
查找导致重定向过程的跳转并修补介于它与良好调用之间的所有字节:
0040D5DF FF6424 FC JMP DWORD PTR SS:[ESP-4] <--- Jump!!! ... ... <--- Patch所有这些操作码!!! ... 0040D643 E8 C4F6FFFF CALL keygen.0040CD0C <--- Good call!!! 0040D648 E8 03000000 CALL keygen.0040D650 然后向下滚动到我们众所周知的地方: 0040D6D7 B0 F9 MOV AL,0F9 0040D6D9 72 3F JB SHORT keygen.0040D71A 0040D6DB 8D85 F469271E LEA EAX,DWORD PTR SS:[EBP+1E2769F4] 0040D6E1 2D 8417E71D SUB EAX,1DE71784 0040D6E6 FFD0 CALL EAX 0040D6E8 EB 02 JMP SHORT keygen.0040D6EC
0040D5DF FF6424 FC JMP DWORD PTR SS:[ESP-4] <--- Jump!!! ... ... <--- Patch所有这些操作码!!! ... 0040D643 E8 C4F6FFFF CALL keygen.0040CD0C <--- Good call!!! 0040D648 E8 03000000 CALL keygen.0040D650 然后向下滚动到我们众所周知的地方: 0040D6D7 B0 F9 MOV AL,0F9 0040D6D9 72 3F JB SHORT keygen.0040D71A 0040D6DB 8D85 F469271E LEA EAX,DWORD PTR SS:[EBP+1E2769F4] 0040D6E1 2D 8417E71D SUB EAX,1DE71784 0040D6E6 FFD0 CALL EAX 0040D6E8 EB 02 JMP SHORT keygen.0040D6EC
这是可能调用计时器的地方。 我们的目标在加壳时没有启用该选项,我们不需要修补40D6DB到40D6E6的操作码。 好的,向下滚动并找到POPAD操作码。 你会发现它稍稍被混淆。
0040D8FA E8 610FC90F CALL 1009E860 所以修补第一个字节以获得清晰的画面。 0040D8FA 90 NOP 0040D8FB 61 POPAD POPAD之后,开始窃取OEP代码并混之以垃圾代码。 看起来没有被盗的OEP字节,因为指向代码段的跳转现在跳到段开头401000: 0040D8FC 0FC9 BSWAP ECX 0040D8FE 0FACC2 13 SHRD EDX,EAX,13 ... ... ... 0040D947 -E9 B436FFFF JMP keygen.00401000 <---跳到OEP!!!
0040D8FA E8 610FC90F CALL 1009E860 所以修补第一个字节以获得清晰的画面。 0040D8FA 90 NOP 0040D8FB 61 POPAD POPAD之后,开始窃取OEP代码并混之以垃圾代码。 看起来没有被盗的OEP字节,因为指向代码段的跳转现在跳到段开头401000: 0040D8FC 0FC9 BSWAP ECX 0040D8FE 0FACC2 13 SHRD EDX,EAX,13 ... ... ... 0040D947 -E9 B436FFFF JMP keygen.00401000 <---跳到OEP!!!
执行跳转,你将落在OEP上。 即使按Ctrl + A分析代码,代码仍然看起来很糟糕,所以右键单击它,选择分析并从模块中删除分析。 然后你会有更好的画面:
00401000 9C PUSHFD 00401001 60 PUSHAD 00401002 B9 B5381023 MOV ECX,231038B5 00401007 BF 7896AA00 MOV EDI,0AA9678 0040100C 81E9 91381023 SUB ECX,23103891 00401012 B8 5F1360C2 MOV EAX,C260135F ... ...
首先,我们将检查PE头部分是否有被盗/重定向的代码。 只需运行“PESpin - Code Fixer.txt”脚本即可。 检查日志窗口,您将看到该脚本修复了4A操作码:
00401000 9C PUSHFD 00401001 60 PUSHAD 00401002 B9 B5381023 MOV ECX,231038B5 00401007 BF 7896AA00 MOV EDI,0AA9678 0040100C 81E9 91381023 SUB ECX,23103891 00401012 B8 5F1360C2 MOV EAX,C260135F ... ...
首先,我们将检查PE头部分是否有被盗/重定向的代码。 只需运行“PESpin - Code Fixer.txt”脚本即可。 检查日志窗口,您将看到该脚本修复了4A操作码:
[ Simple Code Fixing - number of stolen opcodes ] stolen = 0000004A
[ Simple Code Fixing - number of stolen opcodes ] stolen = 0000004A
好的,这就是我们从PESpin的早期版本中所知道的,但现在我们将遇到新的技巧 - 代码解密和擦除。 这部分代码一开始就是第一个解密过程的开始:
00401000 9C PUSHFD 00401001 60 PUSHAD 00401002 B9 B5381023 MOV ECX,231038B5 00401007 BF 7896AA00 MOV EDI,0AA9678 0040100C 81E9 91381023 SUB ECX,23103891 00401012 B8 5F1360C2 MOV EAX,C260135F 00401017 05 DCE1E03D ADD EAX,3DE0E1DC 0040101C FF0D 22104000 DEC DWORD PTR DS:[401022] 00401022 0011 ADD BYTE PTR DS:[ECX],DL<--- 跟踪这一行!!! 00401024 61 POPAD 00401025 9D POPFD
使用F8跟踪我在上面显示的行,你会看到它变为:
00401000 9C PUSHFD 00401001 60 PUSHAD 00401002 B9 B5381023 MOV ECX,231038B5 00401007 BF 7896AA00 MOV EDI,0AA9678 0040100C 81E9 91381023 SUB ECX,23103891 00401012 B8 5F1360C2 MOV EAX,C260135F 00401017 05 DCE1E03D ADD EAX,3DE0E1DC 0040101C FF0D 22104000 DEC DWORD PTR DS:[401022] 00401022 0011 ADD BYTE PTR DS:[ECX],DL<--- 跟踪这一行!!! 00401024 61 POPAD 00401025 9D POPFD
使用F8跟踪我在上面显示的行,你会看到它变为:
00401022 FF10 CALL DWORD PTR DS:[EAX]
该调用将引导您进入一个程序,该程序将解密目标中的某些代码并擦除某些内容。 如果你想看看那里发生了什么,你可以去F7。 它只会解密POPFD操作码以下的几个操作码并擦除以上所有操作码。 按F8而不是F7,你会看到变化:
00401022 FF10 CALL DWORD PTR DS:[EAX]
该调用将引导您进入一个程序,该程序将解密目标中的某些代码并擦除某些内容。 如果你想看看那里发生了什么,你可以去F7。 它只会解密POPFD操作码以下的几个操作码并擦除以上所有操作码。 按F8而不是F7,你会看到变化:
00401000 0000 ADD BYTE PTR DS:[EAX],AL 00401002 0000 ADD BYTE PTR DS:[EAX],AL 00401004 0000 ADD BYTE PTR DS:[EAX],AL 00401006 0000 ADD BYTE PTR DS:[EAX],AL 00401008 0000 ADD BYTE PTR DS:[EAX],AL 0040100A 0000 ADD BYTE PTR DS:[EAX],AL 0040100C 0000 ADD BYTE PTR DS:[EAX],AL 0040100E 0000 ADD BYTE PTR DS:[EAX],AL 00401010 0000 ADD BYTE PTR DS:[EAX],AL 00401012 0000 ADD BYTE PTR DS:[EAX],AL 00401014 0000 ADD BYTE PTR DS:[EAX],AL 00401016 0000 ADD BYTE PTR DS:[EAX],AL 00401018 0000 ADD BYTE PTR DS:[EAX],AL 0040101A 0000 ADD BYTE PTR DS:[EAX],AL 0040101C 0000 ADD BYTE PTR DS:[EAX],AL 0040101E 0000 ADD BYTE PTR DS:[EAX],AL 00401020 0000 ADD BYTE PTR DS:[EAX],AL 00401022 0000 ADD BYTE PTR DS:[EAX],AL 00401024 61 POPAD 00401025 9D POPFD 00401026 6A 00 PUSH 0 00401028 E8 83F1FFFF CALL keygen.004001B0 0040102D A3 E4304000 MOV DWORD PTR DS:[4030E4],EAX 00401032 6A 00 PUSH 0 00401034 -E9 7DF1FFFF JMP keygen.004001B6 <--- 到PE头! 00401039 6A 00 PUSH 0 0040103B 6A 01 PUSH 1 0040103D 50 PUSH EAX 0040103E E8 7EF1FFFF CALL keygen.004001C1 <--- 到PE头! 00401043 6A 00 PUSH 0 00401045 E8 7DF1FFFF CALL keygen.004001C7 <--- 到PE头!
请注意,一些新的解密跳转和调用会指向PE头,因此我们必须再次运行脚本来修复重定向,然后使用NOP填充401000到401025的所有代码:
00401000 0000 ADD BYTE PTR DS:[EAX],AL 00401002 0000 ADD BYTE PTR DS:[EAX],AL 00401004 0000 ADD BYTE PTR DS:[EAX],AL 00401006 0000 ADD BYTE PTR DS:[EAX],AL 00401008 0000 ADD BYTE PTR DS:[EAX],AL 0040100A 0000 ADD BYTE PTR DS:[EAX],AL 0040100C 0000 ADD BYTE PTR DS:[EAX],AL 0040100E 0000 ADD BYTE PTR DS:[EAX],AL 00401010 0000 ADD BYTE PTR DS:[EAX],AL 00401012 0000 ADD BYTE PTR DS:[EAX],AL 00401014 0000 ADD BYTE PTR DS:[EAX],AL 00401016 0000 ADD BYTE PTR DS:[EAX],AL 00401018 0000 ADD BYTE PTR DS:[EAX],AL 0040101A 0000 ADD BYTE PTR DS:[EAX],AL 0040101C 0000 ADD BYTE PTR DS:[EAX],AL 0040101E 0000 ADD BYTE PTR DS:[EAX],AL 00401020 0000 ADD BYTE PTR DS:[EAX],AL 00401022 0000 ADD BYTE PTR DS:[EAX],AL 00401024 61 POPAD 00401025 9D POPFD 00401026 6A 00 PUSH 0 00401028 E8 83F1FFFF CALL keygen.004001B0 0040102D A3 E4304000 MOV DWORD PTR DS:[4030E4],EAX 00401032 6A 00 PUSH 0 00401034 -E9 7DF1FFFF JMP keygen.004001B6 <--- 到PE头! 00401039 6A 00 PUSH 0 0040103B 6A 01 PUSH 1 0040103D 50 PUSH EAX 0040103E E8 7EF1FFFF CALL keygen.004001C1 <--- 到PE头! 00401043 6A 00 PUSH 0 00401045 E8 7DF1FFFF CALL keygen.004001C7 <--- 到PE头!
请注意,一些新的解密跳转和调用会指向PE头,因此我们必须再次运行脚本来修复重定向,然后使用NOP填充401000到401025的所有代码:
00401000 . 90 NOP ... ... ... 00401024 . 90 NOP 00401025 . 90 NOP 00401026 . 6A 00 PUSH 0 00401028 . E8 1B040000 CALL keygen.00401448 0040102D . A3 E4304000 MOV DWORD PTR DS:[4030E4],EAX 00401032 . 6A 00 PUSH 0 00401034 . 68 7F104000 PUSH keygen.0040107F 00401039 . 6A 00 PUSH 0 0040103B . 6A 01 PUSH 1 0040103D . 50 PUSH EAX 0040103E . E8 11040000 CALL keygen.00401454 00401043 . 6A 00 PUSH 0 00401045 . E8 F8030000 CALL keygen.00401442 0040104A . EB 0B JMP SHORT keygen.00401057 0040104C EB DB EB
我们已经修复了第一种解密类型CLEAR。 现在我们要找到并修复CRYPT。 由于目标很小,你可以向下滚动,找到两个有趣的call:
00401000 . 90 NOP ... ... ... 00401024 . 90 NOP 00401025 . 90 NOP 00401026 . 6A 00 PUSH 0 00401028 . E8 1B040000 CALL keygen.00401448 0040102D . A3 E4304000 MOV DWORD PTR DS:[4030E4],EAX 00401032 . 6A 00 PUSH 0 00401034 . 68 7F104000 PUSH keygen.0040107F 00401039 . 6A 00 PUSH 0 0040103B . 6A 01 PUSH 1 0040103D . 50 PUSH EAX 0040103E . E8 11040000 CALL keygen.00401454 00401043 . 6A 00 PUSH 0 00401045 . E8 F8030000 CALL keygen.00401442 0040104A . EB 0B JMP SHORT keygen.00401057 0040104C EB DB EB
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-1-28 22:33
被kanxue编辑
,原因:
赞赏
他的文章
看原图
赞赏
雪币:
留言: