【文章标题】: XX切割系统脱壳手记(Visual Protect -> Visage壳)
【文章作者】: newsoft88
【作者邮箱】: newsoft88@126.com
【软件名称】: XX切割系统
【软件大小】: 2.9M
【下载地址】: 自己搜索下载
【加壳方式】: Visual Protect -> Visage
【保护方式】: Visual Protect -> Visage
【编写语言】: DEPLI
【使用工具】: OD,PEID、HEX、LOADPE
【操作平台】: WINXPSP2
【软件介绍】: 主要功能是在板材玻璃等行业中,对切割产品进行优化
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
该软件系商业软件,本教程只探讨对脱的IAT的修复,不汲软件的解密与版权!
软件说明:XX切割系统的主要功能是在板材、玻璃等行业中,对切割产品进行优化排样,充分提高材料的利用率,减轻人工排样的工作量,提高工作效率并节约材料成本。
接触一个软件的最基本流程是先查壳,没壳那是最好不过了,但天下没那么便宜的事,用PEID查壳,为:Visual Protect -> Visage,该 壳的特点是IAT变形做得好,反ANTI功能稍差,对软件的注册保护也是依靠壳来,这也是一个弱点点,就是说壳脱了也就完事了!
废话少说,请出看家工具OD,载入警告,不管,提示有壳,不再分析,载入后停在这里:
004E9F90 w> 55 push ebp
004E9F91 8BEC mov ebp,esp
004E9F93 51 push ecx
004E9F94 53 push ebx
004E9F95 56 push esi
004E9F96 57 push edi
004E9F97 C705 B00E4F00 00000000 mov dword ptr ds:[4F0EB0],0
因为软件有NAG试用提示窗,所以直接运行至试用提示窗,
004EAE6E FF15 880E4F00 call dword ptr ds:[4F0E88] ; VP.[NONAME] //进入壳的调用,检查试用期的注册情况;在些下断!
004EAE74 83BD F8FEFFFF 00 cmp dword ptr ss:[ebp-108],0
004EAE7B 74 0D je short wscut.004EAE8A
在CALL处跟进,进入下面的代码
00814C14 V> 55 push ebp
00814C15 8BEC mov ebp,esp
00814C17 B9 C1000000 mov ecx,0C1
00814C1C 6A 00 push 0
00814C1E 6A 00 push 0
00814C20 49 dec ecx
单步跟入
00814F34 A1 B4BC8100 mov eax,dword ptr ds:[81BCB4]
00814F39 BA 10668100 mov edx,VP.00816610 ; ASCII "License Failure"
此处检查授权失败,继续跟入
寻找OEP
直接在00815E36 下断,F9 ,进入试用窗口,点试用后,断在下面代码处
00815E36 /75 0A jnz short VP.00815E42
00815E38 |A1 DCBB8100 mov eax,dword ptr ds:[81BBDC]
00815E3D |E8 7E4CFDFF call VP.007EAAC0
00815E42 \B8 E06A8100 mov eax,VP.00816AE0 ; ASCII "Uncomress Sections"
00815E47 E8 ECBDFFFF call VP.00811C38
00815E4C 8B45 08 mov eax,dword ptr ss:[ebp+8]
00815E4F FF10 call dword ptr ds:[eax]
00815E51 A1 84BB8100 mov eax,dword ptr ds:[81BB84]
一路走来,发现 jmp dword ptr ss:[ebp-4] 就是跳各正确的OEP
00815F9B BA 786B8100 mov edx,VP.00816B78 ; ASCII "CodeCRCMatch False"
00815FA0 E8 F7E8F5FF call VP.0077489C
00815FA5 8B85 64FAFFFF mov eax,dword ptr ss:[ebp-59C]
00815FAB E8 88BCFFFF call VP.00811C38
00815FB0 A1 DCBB8100 mov eax,dword ptr ds:[81BBDC]
00815FB5 E8 064BFDFF call VP.007EAAC0
00815FBA 8B45 FC mov eax,dword ptr ss:[ebp-4]
00815FBD 33D2 xor edx,edx
00815FBF 52 push edx
00815FC0 50 push eax
00815FC1 8D95 58FAFFFF lea edx,dword ptr ss:[ebp-5A8]
00815FC7 B8 08000000 mov eax,8
00815FCC E8 AF2FF6FF call VP.00778F80
00815FD1 8B8D 58FAFFFF mov ecx,dword ptr ss:[ebp-5A8]
00815FD7 8D85 5CFAFFFF lea eax,dword ptr ss:[ebp-5A4]
00815FDD BA 946B8100 mov edx,VP.00816B94 ; ASCII "Finalizing 0x"
00815FE2 E8 B5E8F5FF call VP.0077489C
00815FE7 8B85 5CFAFFFF mov eax,dword ptr ss:[ebp-5A4]
00815FED E8 46BCFFFF call VP.00811C38
00815FF2 - FF65 FC jmp dword ptr ss:[ebp-4] ; wscut.004D0060 //跳向OEP
F8 跟进后,程序停在这里\\OEP
004D0060 55 push ebp
004D0061 8BEC mov ebp,esp
004D0063 83C4 EC add esp,-14
004D0066 53 push ebx
004D0067 33C0 xor eax,eax
004D0069 8945 EC mov dword ptr ss:[ebp-14],eax
004D006C B8 68FD4C00 mov eax,wscut.004CFD68
004D0071 E8 7E6CF3FF call wscut.00406CF4
004D0076 8B1D 88314D00 mov ebx,dword ptr ds:[4D3188] ; wscut.004D4C34
004D007C 33C0 xor eax,eax
004D007E 55 push ebp
004D007F 68 CE014D00 push wscut.004D01CE
004D0084 64:FF30 push dword ptr fs:[eax]
此时打开ImpoetREC ,输入OEP :D0060 ,点自动查找,发现很函数无效! 现在终于知道,IAT已经加密
为知道加密情况,我们任意找个函数,看看是什么情况:
00406C30 - FF25 94524D00 jmp dword ptr ds:[4D5294]
00406C36 8BC0 mov eax,eax
00406C38 - FF25 90524D00 jmp dword ptr ds:[4D5290]
00406C3E 8BC0 mov eax,eax
00406C40 - FF25 8C524D00 jmp dword ptr ds:[4D528C]
00406C46 8BC0 mov eax,eax
00406C48 - FF25 88524D00 jmp dword ptr ds:[4D5288]
我们在 jmp dword ptr ds:[4D5294] 跟进:
代码如下 :
01238410 B8 90A21600 mov eax,16A290
01238415 FFE0 jmp eax
0016A290 B8 A1B6807C mov eax,kernel32.GetModuleHandleA
0016A295 FFE0 jmp eax
此处一跟,我们知道:加密也简单:两次给值,就是跳向正确的函数了!
因为函数加密的较多,扬以我写了一节代码来修正他;找一块空白地方;代码如下
OEP处改跳向
004D0060 /E9 076F0100 jmp wscut.004E6F6C
004D0065 |90 nop
004D0066 |53 push ebx
004D0067 |33C0 xor eax,eax
004D0069 |8945 EC mov dword ptr ss:[ebp-14],eax
修正IAT代码:
004E6F6C 50 push eax //保护现场
004E6F6D 53 push ebx
004E6F6E 51 push ecx
004E6F6F 52 push edx
004E6F70 33D2 xor edx,edx
004E6F72 3E:8B0495 A4514D00 mov eax,dword ptr ds:[edx*4+4D51A4] //取加密数据
004E6F7A 3D 00004000 cmp eax,wscut.00400000 ; ASCII "MZP" //看是否IAT已经加密
004E6F7F 7D 10 jge short wscut.004E6F91 //没有加密则跳走
004E6F81 83F8 00 cmp eax,0
004E6F84 74 0B je short wscut.004E6F91 //为空则跳走
004E6F86 8B48 01 mov ecx,dword ptr ds:[eax+1] //取正确的函数
004E6F89 3E:890C95 A4514D00 mov dword ptr ds:[edx*4+4D51A4],ecx //修正IAT表
004E6F91 42 inc edx //跳向下个处理
004E6F92 81FA 40070000 cmp edx,740 //是否全部处理完了
004E6F98 ^ 7E D2 jle short wscut.004E6F6C
004E6F9A 52 pop edx //恢复现场
004E6F9B 51 pop ecx
004E6F9C 53 pop ebx
004E6F9D 50 pop eax
004E6F9E ^ E9 BD90FEFF jmp wscut.004D0060 //返回OEP
004E6FA3 90 nop
返回OEP后,撤消代码的修改,再打开ImpoetREC ,输入OEP :D0060 ,点自动查找,发现很多函数正常了,但还有少数函数不正确!这是壳加密的原因!
我们用LOADPE DUMP出文件,使用ImpoetREC 修正IAT,此时运行程序出错,说明还有函数未修复!
下面是手工活,我们举一个为例,其他相同:
0042D306 |. 8BF0 mov esi,eax
0042D308 |. 8935 EC4A4D00 mov dword ptr ds:[4D4AEC],esi
0042D30E |. 85F6 test esi,esi
0042D310 |. 75 0A jnz short 12345_.0042D31C
0042D312 |. B8 A0784000 mov eax,<jmp.&user32.ShowScrollBar>
0042D317 |. A3 EC4A4D00 mov dword ptr ds:[4D4AEC],eax
0042D31C 68 80D44200 push 12345_.0042D480 ; ASCII "FlatSB_GetScrollRange"
0042D321 53 push ebx
0042D322 E8 599CFDFF call 12345_.00406F80 //此处跳向壳内,解密函数!
0042D327 |. 8BF0 mov esi,eax
0042D329 |. 8935 F04A4D00 mov dword ptr ds:[4D4AF0],esi
0042D32F |. 85F6 test esi,esi
0042D331 |. 75 0A jnz short 12345_.0042D33D
上面的跳向壳内的加密也很直观,就是把FlatSB_GetScrollRange转换为相应的函数地址,就OK了,为此,我们将上面代码改为:
0042D306 |. 8BF0 mov esi,eax
0042D308 |. 8935 EC4A4D00 mov dword ptr ds:[4D4AEC],esi
0042D30E |. 85F6 test esi,esi
0042D310 |. 75 0A jnz short 12345_.0042D31C
0042D312 |. B8 A0784000 mov eax,<jmp.&user32.ShowScrollBar>
0042D317 |. A3 EC4A4D00 mov dword ptr ds:[4D4AEC],eax
0042D31C B8 72011B5D mov eax,comctl32.FlatSB_GetScrollRange
0042D321 90 nop
0042D322 90 nop
0042D323 90 nop
0042D324 90 nop
0042D325 90 nop
0042D326 90 nop
0042D327 |. 8BF0 mov esi,eax
0042D329 |. 8935 F04A4D00 mov dword ptr ds:[4D4AF0],esi
0042D32F |. 85F6 test esi,esi
0042D331 |. 75 0A jnz short 12345_.0042D33D
也就是直接函数给EAX,就可以了,其余还有几处相同!
这样,重建PE后,再运行程序一切OK,已没有NAG了,也没有试用期限了!
--------------------------------------------------------------------------------
【经验总结】
该程序没有SDK,也没有自己的加密方法,全是依靠壳的加密,也是程序的失败之处,解壳后程序也就昭然于天下,这也是软件作
者要注意的问题,本人也是软件加密的学习,欢迎你和我交流!
--------------------------------------------------------------------------------
【版权声明】: 谢谢观看, 转载请注明作者并保持文章的完整, 谢谢!
2006年08月25日 22:14:25
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课