脱壳软件:MultiTranse 4.1.1
下载地址:http://www.tialsoft.com/download/
软件说明:MultiTranse is a software that employs free online resources to translate to/from 13 different languages.
加壳方式:Execryptor 2.x
作者声明:只是感兴趣,失误之处请各位大侠指正。
近来论坛上Execryptor的文章多了,恰逢Multitranse用此加壳了,试练一下,作个笔记共享。
一、用HidaOD隐藏好OLLYDBG_Execryptor(专门调试Execryptor的OD,见后面的链接),停在系统断点后,运行BypassAnti脚本,中间会有一些错误提示,按确定后再Shift+F9跳过,脚本运行后停在这里:
006147C1 52 PUSH EDX ; MultiTra.006147C1
006147C2 8BD6 MOV EDX,ESI
006147C4 871424 XCHG DWORD PTR SS:[ESP],EDX
006147C7 BE 49EC5C00 MOV ESI,MultiTra.005CEC49
006147CC ^ E9 1672FEFF JMP MultiTra.005FB9E7
006147D1 C3 RETN
此时到401000区段看一下,已经解码了,在401000区段下内存访问断点后断在这里
:
00552CF1 - E9 FE8E0A00 JMP MultiTra.005FBBF4
00552CF6 - E9 7D6D0D00 JMP MultiTra.00629A78
00552CFB - E9 C8E40C00 JMP MultiTra.006211C8
00552D00 - E9 565B0D00 JMP MultiTra.0062885B
00552D05 50 PUSH EAX
00552D06 871C24 XCHG DWORD PTR SS:[ESP],EBX
00552D09 E9 13000000 JMP MultiTra.00552D21
00552D0E DAFC FIDIVR ESP ; Illegal use of register
00552D10 4C DEC ESP
可以DUMP了,根据入口处代码上下找一找,OEP被VM了,连蒙再猜的补上Stolen OEP的代码
005535E8 > $ 55 PUSH EBP
005535E9 . 8BEC MOV EBP,ESP
005535EB . 83C4 F0 ADD ESP,-10
005535EE . 53 PUSH EBX
005535EF . 56 PUSH ESI
005535F0 . 57 PUSH EDI
005535F1 . B8 982F5500 MOV EAX,00552F98
005535F6 . E8 8937EBFF CALL 00406D84
二、IAT
估计是新版本的Execryptor,IAT脚本不太好使,有些指针就用IM的Execryptor插件修复一下,再不行就只好下内存断点自己跟吧,总之弄了好半天才把IAT搞好。
三、
去掉无用的区段,修正TLS,把CODE基址改回1000,用LodePE简单优化一下。
里面有些VM搞不定,就直接跳过去了,简单的破解了一下,先用着吧,反正升级的快。
相关链接:
cxlrb转贴:
http://bbs1.pediy.com:8081//showthread.php?s=&threadid=32325&perpage=15&highlight=&pagenumber=1
whynotbar(Rea)
http://www.unpack.cn/viewthread.php?tid=7402&extra=page%3D1
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
上传的附件:
