首页
社区
课程
招聘
[原创]Enigma6.8脱壳+修复(下)
发表于: 2021-8-12 21:02 36796

[原创]Enigma6.8脱壳+修复(下)

2021-8-12 21:02
36796

最近家里电路有问题总是跳闸,拖拖拉拉就到了今天才写。

这种处理IAT的就算单纯的进行运算解密出对应新的FF25表对应的函数地址跳转,每个加密过的IAT都有对应不同的push xxxxxxxx一个值,EG壳这种处理手法和老版本几乎是一样的,没有太大的变动。


如果大家想详细跟下他的解密可以进入这个CALL

EAX就是返回的地址,就是壳自己创建的FF25跳转表对应的函数跳转,如果我们写脚本处理就很简单了,这个解密CALL是公用的所有函数的解密都是调用这一个解密CALL


我简单的来说下脚本的实现思路吧

由于这个样本是VC++编译的所有的函数调用都是以FF15 CALL的形式简接调用我们只需从00401000开始往下找FF15开头的汇编语句即可

当我们找到FF15汇编语句是我们可以+4取间接调用地址里的值是否小于5FF00000(系统函数地址都是高地址,壳申请的都是低的地址)

我们可以在壳创建的FF25地址表选择地址表所处的全部区域下内存访问断点,再按照2的方法获取对应的函数地址填充会1的地址里即可

EG壳对于这种方法还有一个线程干扰,怎么回事呢?就是当你用脚本跑修复IAT时他会时不时调用sleep函数来暂停线程干扰修复,根据我的观察可以发现加壳程序对比没加壳的程序多了2条线程,当我终止这2条线程后程序会退出,就是一个简单的ExitProcess函数的调用退出我们直接在函数内部ret掉程序就不会退出,正常运行了,也不再会调用sleep函数干扰我们修复了。




脚本代码如下:

最后一种加密也是最难还原的,我把EG壳翻了底朝天我还是无法找到这种IAT处理出现对应原函数的地方,我猜测EG壳在SDK处理的时候就将这一小部分函数给按字节获取重写进壳程序保存起来了,现场就不会再二次获取函数出现暴露的风险。EG壳这种模拟虽然力度比较大但是也是有前提条件的不是任何函数都可以模拟的,更具对比发现他主要是挑一些编译语言所必带的函数来进行加密,不仅如此在这部分函数里再挑选整个函数没有call的调用没有跳转的函数进行重写。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-8-14 17:31 被大道在我编辑 ,原因:
上传的附件:
收藏
免费 12
支持
分享
最新回复 (11)
雪    币: 3518
活跃值: (3903)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不错,支持,期待vmp SE的脱文。
2021-8-13 18:50
0
雪    币: 2359
活跃值: (343)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
X64的讲讲呢?
2021-8-14 09:57
0
雪    币: 8387
活跃值: (4961)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
rescuo X64的讲讲呢?
都差不多的,官网现在最新的X32 X64都是6.8版本处理手法都是一样的
2021-8-14 17:29
0
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
你好,问下一起吗,我也喜欢这个壳。ps :不是黑产。。纯技术学习。
2021-8-18 10:51
0
雪    币: 3796
活跃值: (1882)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
非常溜,期待SE、VMP。
2021-8-18 11:56
0
雪    币: 27
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
照葫芦画瓢,总算成功了。谢谢楼主。又学到不少知识!
2021-8-23 01:59
0
雪    币: 245
活跃值: (1542)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
非常期待,另外这个壳64位EXE的脱壳能写一篇吗?
2022-11-6 16:08
0
雪    币: 596
活跃值: (953)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
软件在注册表有enigma protector信息,但是查壳查不到
2022-12-3 01:29
0
雪    币: 596
活跃值: (953)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
同求大佬讲一下X64的程序或者DLL
2022-12-10 00:33
0
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
enigma x.5 求过注册 hid.dll 加有注册
链接:https://pan.baidu.com/s/14RHI4NL3Sc0OPQdCDZlnXA?pwd=1234
提取码:1234
2024-4-15 20:49
0
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
64位enigma x.5 求过注册 hid.dll 加有注册
链接:https://pan.baidu.com/s/14RHI4NL3Sc0OPQdCDZlnXA?pwd=1234
提取码:1234  qq 邮箱 29992160 拜托大神
2024-4-15 20:51
0
游客
登录 | 注册 方可回帖
返回
//