首页
社区
课程
招聘
某外挂 SVKP 1.4x -> Pavol Cerven脱壳
发表于: 2006-6-4 19:09 10792

某外挂 SVKP 1.4x -> Pavol Cerven脱壳

2006-6-4 19:09
10792

【文章标题】: 某外挂 SVKP 1.4x -> Pavol Cerven脱壳
【作    者】: chasgone(阳离子)
【加壳方式】: SVKP 1.4x -> Pavol Cerven
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】

用 peid查壳为SVKP 1.3x -> Pavol Cerven
其实是高版本的壳

一、oep

od载入,忽略所有异常,在resource段下断点  f9, 然后在code段下断点 再f9  就到oep了

00401000         /EB 10             jmp short hx.00401012
00401002         |66:623A           bound di,dword ptr ds:[edx]
00401005         |43                inc ebx
00401006         |2B2B              sub ebp,dword ptr ds:[ebx]
00401008         |48                dec eax
00401009         |4F                dec edi
0040100A         |4F                dec edi
0040100B         |4B                dec ebx
0040100C         |90                nop
0040100D        -|E9 40744700       jmp 00878452
00401012         \A1 33744700       mov eax,dword ptr ds:[477433]
00401017          C1E0 02           shl eax,2
0040101A          A3 37744700       mov dword ptr ds:[477437],eax

二、搞定iat
od重新载入   下断点bp GetModuleHandleA+5

shift+f9断下,取消断点,ctrl+f9返回主程序。

ctrl+f搜索特征码

cmp dword ptr ds:[ebx],251097CC

把这下面的所有的比较和跳转全部nop掉

然后在搜索特征码
mov dword ptr ds:[edi],eax
popad

改成:
popad
mov dword ptr ds:[edi],eax

然后在code段下断点f2,然后f9就到oep了

拿起importrec  填oep=1000,自动搜索iat  全部有效 保存为树文件 后面有用

三、搞定replaced code

前面的两步和svkp 1.3x的一样,所以说的不详细,现在详细分析replaced code,这是难点。

用上面得到的iat修复 ,fixdump后 ,程序不能运行,od载入脱壳后的文件,发现有很多的
004011B4          E8 674F0700       call <jmp.&kernel32.ExitProcess>

00411879          E8 A04F0600            call <jmp.&user32.MessageBoxA>

原来程序把kernel32中的函数都换成ExitProcess公共接口了
把user32.dll里的函数换成MessageBoxA了

现在就是要把这些ExitProcess换成本来的函数。

00401000         /EB 10             jmp short hx.00401012
00401002         |66:623A           bound di,dword ptr ds:[edx]
00401005         |43                inc ebx
00401006         |2B2B              sub ebp,dword ptr ds:[ebx]
00401008         |48                dec eax
00401009         |4F                dec edi
0040100A         |4F                dec edi
0040100B         |4B                dec ebx
0040100C         |90                nop
0040100D        -|E9 40744700       jmp 00878452
00401012         \A1 33744700       mov eax,dword ptr ds:[477433]
00401017          C1E0 02           shl eax,2
0040101A          A3 37744700       mov dword ptr ds:[477437],eax
0040101F          52                push edx
00401020          6A 00             push 0
00401022          E8 F9500700       call hx.00476120    新建eip
00401027          8BD0              mov edx,eax
00401029          E8 9EB80600       call hx.0046C8CC
0040102E          5A                pop edx
0040102F          E8 FCB70600       call hx.0046C830
00401034          E8 D3B80600       call hx.0046C90C
00401039          6A 00             push 0
0040103B          E8 F0CA0600       call hx.0046DB30
00401040          59                pop ecx
00401041          68 DC734700       push hx.004773DC
00401046          6A 00             push 0
00401048          E8 D3500700       call hx.00476120

在00401022 处新建eip 然后f7 进去:
00476120        - FF25 FC834800     jmp dword ptr ds:[4883FC]
此时ds:[004883FC]=0DE076A9

正常情况下 004883FC应该是api的入口  但是这里却指向壳中
f8 进去   用f8和f7 单步跟踪 可以跟到这里

0012FE25          58                pop eax
0012FE26          74 07             je short 0012FE2F  
0012FE28          83E9 08           sub ecx,8
0012FE2B          74 2A             je short 0012FE57
0012FE2D        ^ EB DA             jmp short 0012FE09
0012FE2F          8B4431 FC         mov eax,dword ptr ds:[ecx+esi-4]
此时ds:[0DE0933F]=00488464 (hx.00488464)
eax=00401022 (hx.00401022)
在命令窗口 输入d 0DE0933F
此时可以看到有很大一张表
0DE086CF  004884D0    hx.004884D0
0DE086D3  0046BFD6    hx.0046BFD6
0DE086D7  004884CC    hx.004884CC
0DE086DB  0046BF7C    hx.0046BF7C
0DE086DF  004884DC    hx.004884DC
0DE086E3  0046BCF9    hx.0046BCF9
。。。。。。。
。。。。。。。

0DE09337  00488464    hx.00488464
0DE0933B  00401048    hx.00401048
0DE0933F  00488464    hx.00488464
0DE09343  00401022    hx.00401022

这一张表的含义是什么呢?
奇数行表示正确的函数在iat中的位置
偶数行就是需要修复所在的地址
(可能我表达不大清楚,见笑了)
比如第一行和第二行为
0DE086CF  004884D0    hx.004884D0
0DE086D3  0046BFD6    hx.0046BFD6
我们去0046BFD6看看。结果如下:
0046BFD6      E8 45A10000    call hx.00476120

我们再看看另一张表
00476240        - FF25 BC844800          jmp dword ptr ds:[<&kernel32.GlobalUnloc>; kernel32.GlobalUnlock
00476246        - FF25 C0844800          jmp dword ptr ds:[<&kernel32.HeapAlloc>] ; ntdll.RtlAllocateHeap
0047624C        - FF25 C4844800          jmp dword ptr ds:[<&kernel32.HeapFree>]  ; ntdll.RtlFreeHeap
00476252        - FF25 C8844800          jmp dword ptr ds:[<&kernel32.InitializeC>; kernel32.InitializeCriticalSection
00476258        - FF25 CC844800          jmp dword ptr ds:[<&kernel32.Interlocked>; kernel32.InterlockedDecrement
0047625E        - FF25 D0844800          jmp dword ptr ds:[<&kernel32.Interlocked>; kernel32.InterlockedIncrement
ds:[004884D0]=77E5A660 (kernel32.InterlockedIncrement)
...............
即0047625E 对应的就是004884D0
根据这一张表,我们就知道0046BFD6 处应该怎么改了,应该改为 call 0047625E

此dll的开始地址为 4760E4   结束地址为476342 下面会用到这两个地址

现在的任务就是写代码来修复了

申请一块内存,我申请的是10000000  大小为10000

写如下代码:
10000000         60                  pushad
10000001         9C                  pushfd
10000002         C705 00010010 CF86E>mov dword ptr ds:[10000100],0DE086CF
1000000C         A1 00010010         mov eax,dword ptr ds:[10000100]
10000011         8B18                mov ebx,dword ptr ds:[eax]
10000013         83C0 08             add eax,8
10000016         A3 00010010         mov dword ptr ds:[10000100],eax
1000001B         8B50 FC             mov edx,dword ptr ds:[eax-4]
1000001E         E8 1A000000         call 1000003D
10000023         83EB 05             sub ebx,5
10000026         2BDA                sub ebx,edx
10000028         895A 01             mov dword ptr ds:[edx+1],ebx
1000002B         A1 00010010         mov eax,dword ptr ds:[10000100]
10000030         3D 3F93E00D         cmp eax,0DE0933F         
10000035       ^ 7E D5               jle short 1000000C
10000037         9D                  popfd
10000038         61                  popad
10000039       - EB FE               jmp short 10000039
1000003B         90                  nop
1000003C         90                  nop
1000003D         B8 E4604700         mov eax,4760E4
10000042         3958 02             cmp dword ptr ds:[eax+2],ebx
10000045         74 0C               je short 10000053
10000047         83C0 06             add eax,6
1000004A         3D 42634700         cmp eax,476342     
1000004F       ^ 7E F1               jle short 10000042
10000051       - EB FE               jmp short 10000051
10000053         8BD8                mov ebx,eax
10000055         C3                  retn

在10000000 新建eip f9执行, 此时就全部替换了kernel32中以ExitProcess为公共接口的函数了

下面就是要替换user32.dll中以MessageBoxA为公共接口的函数,还是要找出那两张表,然后写一段代码就行了

下面我们开始找user32.dll中以MessageBoxA的地址表 ,步骤和上面一样

可以跟到这里
0012FF13         8B4431 FC       mov eax,dword ptr ds:[ecx+esi-4]          ; hx.00488D9C
ds:[0DE2BD0A]=00488D9C (hx.00488D9C)
eax=00402F76 (hx.00402F76)
于是可以找到这张表为:
0DE2B09A  00488D60  hx.00488D60
0DE2B09E  0043FFBC  hx.0043FFBC
0DE2B0A2  00488B38  hx.00488B38
0DE2B0A6  0043FF68  hx.0043FF68
0DE2B0AA  00488BE8  hx.00488BE8
0DE2B0AE  0043FF1D  hx.0043FF1D
。。。。。。。。
。。。。。。。。
0DE2BCEE  0040B25E  hx.0040B25E
0DE2BCF2  00488B6C  hx.00488B6C
0DE2BCF6  0040B244  hx.0040B244
0DE2BCFA  00488B80  hx.00488B80
0DE2BCFE  0040B1C2  hx.0040B1C2
0DE2BD02  00488B80  hx.00488B80
0DE2BD06  004084B6  hx.004084B6
0DE2BD0A  00488D9C  hx.00488D9C
0DE2BD0E  00402F76  hx.00402F76

开始地址 0DE2B09A
结束地址 0DE2BD0A

再看看另一张表
004765A8        - FF25 2C8B4800          jmp dword ptr ds:[<&user32.ActivateKeybo>; user32.ActivateKeyboardLayout
004765AE        - FF25 308B4800          jmp dword ptr ds:[<&user32.AdjustWindowR>; user32.AdjustWindowRectEx
004765B4        - FF25 348B4800          jmp dword ptr ds:[<&user32.BeginPaint>]  ; user32.BeginPaint
004765BA        - FF25 388B4800          jmp dword ptr ds:[<&user32.CallNextHookE>; user32.CallNextHookEx
。。。。。。。。。。

00476938        - FF25 8C8D4800          jmp dword ptr ds:[<&user32.UpdateWindow>>; user32.UpdateWindow
0047693E        - FF25 908D4800          jmp dword ptr ds:[<&user32.WaitMessage>] ; user32.WaitMessage
00476944        - FF25 948D4800          jmp dword ptr ds:[<&user32.WinHelpA>]    ; user32.WinHelpA
0047694A        - FF25 988D4800          jmp dword ptr ds:[<&user32.WindowFromPoi>; user32.WindowFromPoint
00476950        - FF25 9C8D4800          jmp dword ptr ds:[<&user32.wsprintfA>]   ; user32.wsprintfA
00476956        - FF25 A08D4800          jmp dword ptr ds:[<&user32.GetSystemMenu>; user32.GetSystemMenu

修复代码为
10000000         60                  pushad
10000001         9C                  pushfd
10000002         C705 00010010 9AB0E>mov dword ptr ds:[10000100],0DE2B09A
1000000C         A1 00010010         mov eax,dword ptr ds:[10000100]
10000011         8B18                mov ebx,dword ptr ds:[eax]
10000013         83C0 08             add eax,8
10000016         A3 00010010         mov dword ptr ds:[10000100],eax
1000001B         8B50 FC             mov edx,dword ptr ds:[eax-4]
1000001E         E8 1A000000         call 1000003D
10000023         83EB 05             sub ebx,5
10000026         2BDA                sub ebx,edx
10000028         895A 01             mov dword ptr ds:[edx+1],ebx
1000002B         A1 00010010         mov eax,dword ptr ds:[10000100]
10000030         3D 0ABDE20D         cmp eax,0DE2BD0A
10000035       ^ 7E D5               jle short 1000000C
10000037         9D                  popfd
10000038         61                  popad
10000039       - EB FE               jmp short 10000039
1000003B         90                  nop
1000003C         90                  nop
1000003D         B8 A8654700         mov eax,4765A8
10000042         3958 02             cmp dword ptr ds:[eax+2],ebx
10000045         74 0C               je short 10000053
10000047         83C0 06             add eax,6
1000004A         3D 56694700         cmp eax,476956
1000004F       ^ 7E F1               jle short 10000042
10000051       - EB FE               jmp short 10000051
10000053         8BD8                mov ebx,eax
10000055         C3                  retn

在10000000 新建eip ,f9

到这里,代码就修复完了。

这个程序没有mov 类的replaced code。否则还要继续写代码修复,其实知道方法也不难。

现在可以拿起lordpe  ,修正imagesize,dump,用第二步得到的iat ,fixdump ,运行成功

脱壳人:chasgone(阳离子)

2006年6月5日


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (16)
雪    币: 239
活跃值: (52)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
这个程序没有mov 类的replaced code。否则还要继续写代码修复,其实知道方法也不难。

现在可以拿起lordpe  ,修正imagesize,dump,用第二步得到的iat ,fixdump ,运行成功

脱壳人:chasgone(阳离子)

2006年6月5日

今天才几号?5号要做的事你都知道了?
2006-6-4 20:22
0
雪    币: 213
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
有点看不懂,郁闷!
2006-6-4 20:27
0
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
4
最初由 chasgone 发布
【作 者】: chasgone(阳离子)
........

阳离子,以前好象聊过
2006-6-4 20:43
0
雪    币: 217
活跃值: (61)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
最初由 fffddd 发布
这个程序没有mov 类的replaced code。否则还要继续写代码修复,其实知道方法也不难。

现在可以拿起lordpe ,修正imagesize,dump,用第二步得到的iat ,fixdump ,运行成功

脱壳人:chasgone(阳离子)
........


呵呵,搞错时间了,提前过了一天
2006-6-4 21:38
0
雪    币: 217
活跃值: (61)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
最初由 lnn1123 发布
阳离子,以前好象聊过


确实聊过,那时你才三篇精华,转眼之间你就有十篇了,佩服,佩服!!
2006-6-4 21:40
0
雪    币: 250
活跃值: (11)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
感谢老大,提供这么好的教程,没什么话可说,支持一下~!~!~!~!
2006-6-5 09:12
0
雪    币: 203
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
学习,支持
2006-6-5 09:15
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
为阳离子顶个
学习ing
2006-6-5 18:19
0
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wdx
10
谢谢这么好的教程,学习
2006-6-6 16:32
0
雪    币: 217
活跃值: (61)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
11
看来这个壳是冷门啊,都没几个人搭理,严重挫伤我的积极性,这个壳的教程很少,以前一直没搞定这个壳,后来参考softworm大侠的文章才脱掉这个壳
2006-6-6 21:38
0
雪    币: 333
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wan
12
好文```学习
2006-6-6 22:48
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
13
谢谢这么好的教程,学习
2006-8-12 22:54
0
雪    币: 229
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
能不能把程序放上来练练手?
2006-8-13 09:06
0
雪    币: 7
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
15
ctrl+f搜索特征码

请问楼主  特征玛如何找到?
cmp dword ptr ds:[ebx],251097CC

251097CC的数值如何得到?
2006-10-16 23:27
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
16
楼上的,一般搜索特征码是根据特定功能所在位置来提取的.
比如壳对iat区域的关键代码区域提取特征码的话,就用些比较少见(搜索一下,只能找到一处的,并且凡是这个壳里面都有的)的代码序列做特征码,一般能找到常数做特征就最佳了.
2006-10-17 08:07
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
17
支持一下
不错不错
2006-10-18 09:05
0
游客
登录 | 注册 方可回帖
返回
//