用Ollydbg手脱CrypKey V5.7[Stealth]加壳的DLL――CKI32h.DLL-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

用Ollydbg手脱CrypKey V5.7[Stealth]加壳的DLL――CKI32h.DLL

发表于: 2004-8-17 01:02 9578

用Ollydbg手脱CrypKey V5.7[Stealth]加壳的DLL――CKI32h.DLL

fly

2004-8-17 01:02

9578

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

【调试环境】：WinXP、Ollydbg V1.10、PEiD、LordPE、ImportREC

―――――――――――――――――――――――――――――――――
【脱壳过程】：



这个壳新加的3个区段名为：Have A Nice Day！送给大家的祝福 ^O^
记得是CryptKey V5.X加壳程序的检测配置DLL文件。
使用了“CrypKey Stealth”选项加壳。This advanced feature will encrypt and compress your program and add runtime guards against hacking, making your program very difficult to reverse enginee...
EXE的脱壳简单，DLL的脱壳需要找到重定位表的信息。

设置Ollydbg忽略的所有异常选项。老规矩：用IsDebug 1.4插件去掉Ollydbg的调试器标志。
―――――――――――――――――――――――――――――――――
一、前奏

003FA700    8B1D 6BA63F00    mov ebx,dword ptr ds:[3FA66B]//进入OD后暂停在这
003FA706    83FB 00          cmp ebx,0
003FA709    75 0A             jnz short CKI32h.003FA715
003FA70B    E8 3C000000       call CKI32h.003FA74C
003FA710    E8 FB0A0000       call CKI32h.003FB210
003FA715    8B4424 08          mov eax,dword ptr ss:[esp+8]
003FA719    50                push eax
003FA71A    E8 09020000       call CKI32h.003FA928
//解压代码，处理重定位
003FA71F    A1 6BA63F00       mov eax,dword ptr ds:[3FA66B]
003FA724    83F8 01          cmp eax,1
003FA727    74 06             je short CKI32h.003FA72F
003FA729    FF25 14A03F00    jmp dword ptr ds:[3FA014]; CKI32h.003B1000
//这里下断飞向光明之巅！ ^O^

―――――――――――――――――――――――――――――――――
二、代码解压

当我们到达003FA71A时，可以下断：BP UnmapViewOfFile
中断后取消断点，Alt+F9返回程序。

003FADB4    7E B4             jle short CKI32h.003FAD6A
003FADB6    E9 96FDFFFF       jmp CKI32h.003FAB51
//循环解压代码
003FADBB    8B55 D4          mov edx,dword ptr ss:[ebp-2C]
003FADBE    8B0D 0CA03F00    mov ecx,dword ptr ds:[3FA00C]; CKI32h.003D4C00
003FADC4    2B4A 04          sub ecx,dword ptr ds:[edx+4]
003FADC7    83E9 04          sub ecx,4
003FADCA    8B45 D4          mov eax,dword ptr ss:[ebp-2C]
003FADCD    8948 04          mov dword ptr ds:[eax+4],ecx
003FADD0    FF75 FC          push dword ptr ss:[ebp-4]
003FADD3    E8 66100000       call <jmp.&KERNEL32.UnmapViewOfFile>
//返回这里，此时程序解压完毕。还没有重定位
//可以在这里Dump进程，这样脱壳后就不必修改基址了 ★
003FADD8    FF75 F8          push dword ptr ss:[ebp-8]
003FADDB    E8 1C100000       call <jmp.&KERNEL32.CloseHandle>
003FADE0    FF75 F4          push dword ptr ss:[ebp-C]
003FADE3    E8 14100000       call <jmp.&KERNEL32.CloseHandle>
003FADE8    E8 43030000       call CKI32h.003FB130
//重定位处理  ★
003FADED    E8 4A020000       call CKI32h.003FB03C

―――――――――――――――――――――――――――――――――
三、重定位表

进入：003FADE8 call CKI32h.003FB130

003FB130    55                push ebp
003FB131    8BEC             mov ebp,esp
003FB133    83C4 F4          add esp,-0C
003FB136    833D 20A03F00 00 cmp dword ptr ds:[3FA020],0
003FB13D    74 48             je short CKI32h.003FB187
003FB13F    A1 6FA63F00       mov eax,dword ptr ds:[3FA66F]
003FB144    2B05 10A03F00    sub eax,dword ptr ds:[3FA010]; LOADDLL.00400000
//减去基址
003FB14A    8945 FC          mov dword ptr ss:[ebp-4],eax
003FB14D    837D FC 00       cmp dword ptr ss:[ebp-4],0
003FB151    74 34             je short CKI32h.003FB187
//不跳则重定位
003FB153    8B15 20A03F00    mov edx,dword ptr ds:[3FA020]
//[003FA020]=00047000          重定位表的RVA! ★
003FB159    0315 6FA63F00    add edx,dword ptr ds:[3FA66F]; CKI32h.003B0000
003FB15F    8955 F8          mov dword ptr ss:[ebp-8],edx
003FB162    33C9             xor ecx,ecx
003FB164    894D F4          mov dword ptr ss:[ebp-C],ecx
003FB167    FF75 FC          push dword ptr ss:[ebp-4]
003FB16A    8B45 F8          mov eax,dword ptr ss:[ebp-8]
003FB16D    0345 F4          add eax,dword ptr ss:[ebp-C]
003FB170    50                push eax
003FB171    E8 3EFFFFFF       call CKI32h.003FB0B4
003FB176    83C4 08          add esp,8
003FB179    0145 F4          add dword ptr ss:[ebp-C],eax
003FB17C    8B55 F4          mov edx,dword ptr ss:[ebp-C]
003FB17F    3B15 24A03F00    cmp edx,dword ptr ds:[3FA024]
003FB185    72 E0             jb short CKI32h.003FB167
//循环处理
003FB187    8BE5             mov esp,ebp
//此处下断，中断后重定位处理完毕。
//ECX=003F915C                重定位表结束地址 ★
003FB189    5D                pop ebp
003FB18A    C3                retn

可以看出壳没有加密重定位表。
重定位表大小＝003F915C－003B0000－00047000 ＝215C

―――――――――――――――――――――――――――――――――
四、OEP

因为这个东东没有加密IAT，所以F9运行，直接从003FA729处跳至OEP

003B1000    EB 10             jmp short CKI32h.003B1012
//也可以在这里用LordPE完全DUMP这个DLL进程
003B1002    66:623A          bound di,dword ptr ds:[edx]
003B1005    43                inc ebx
003B1006    2B2B             sub ebp,dword ptr ds:[ebx]
003B1008    48                dec eax
003B1009    4F                dec edi
003B100A    4F                dec edi
003B100B    4B                dec ebx
003B100C    90                nop
003B100D    E9 CC513D00       jmp 007861DE
003B1012    A1 53513D00       mov eax,dword ptr ds:[3D5153]
003B1017    C1E0 02          shl eax,2
003B101A    A3 57513D00       mov dword ptr ds:[3D5157],eax
003B101F    8B4424 08          mov eax,dword ptr ss:[esp+8]
003B1023    A3 C5513D00       mov dword ptr ds:[3D51C5],eax
003B1028    FF1485 B5513D00    call dword ptr ds:[eax*4+3D51B5]; CKI32h.003B1192

―――――――――――――――――――――――――――――――――
五、输入表

随便从程序找一个API调用，如：
003D44D8    FF25 C4A03E00    jmp dword ptr ds:[3EA0C4]; ADVAPI32.RegCreateKeyA

在转存中跟随3EA0C4，上下看到许多函数地址，很明显的可以找到IAT开始和结束的地址：
003EA0AC 7A A8 03 00 8A A8 03 00 9E A8 03 00 00 00 00 00  z?.?.?.....
003EA0BC AB AC DA 77 9A 18 DA 77 F0 72 DA 77 EA 22 DA 77  ?邝?邝痱邝?邝

003EA7E0 27 7D D1 77 D3 3D D1 77 1E CD D1 77 12 C5 D3 77 '}痒?痒脱w庞w
003EA7F0 6A C9 D1 77 00 00 00 00 41 44 56 41 50 49 33 32 j裳w....ADVAPI32

开始地址＝003EA0BC
结束地址＝003EA7F5

RVA＝003EA0BC-003B0000=0003A0BC
大小＝003EA7F5-003EA0BC=00000739

运行ImportREC，去掉“使用来自磁盘的PE部首”的选项。
选中Ollydbg的loaddll.exe的进程，然后选择CKI32h.DLL，填入RVA＝0003A0BC、大小＝00000739 ，点“Get Import”，CUT掉无效的垃圾指针。改OEP=00001000，去掉“创建新的IAT”选项，FixDump！

―――――――――――――――――――――――――――――――――
六、PE修正

如果你没有避开重定位，则需要修改基址＝003B0000。
修正重定位表RVA=00047000，Size=215C
OK，脱壳成功！

―――――――――――――――――――――――――――――――――

      ,    _/
      /| _.-~/          \_    ,       青春都一晌
   ( /~ /             \~-._ |\
   `\\  _/             \ ~\ )       忍把浮名
_-~~~-.)  )__/;;,.       \_  //'
  /'_,\ --~ \ ~~~-  ,;;\___(  (.-~~~-.       换了破解轻狂
`~ _( ,_..--\ (    ,;'' / ~-- /._`\
  /~~//' /' `~\       ) /--.._, )_  `~
  "  `~"  "    `"    /~'`\ `\\~~\
                     "    " "~'  ""

   UnPacked By 巢水工作坊――fly [FCG][NUKE][DCM]
            2004-08-16  00:00

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・7

支持

最新回复 (11)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼附件压缩包含有： CKI32h.DLL UnPacked-CKI32h.DLL 树文件.txt 附件:UnPacked.rar 2004-8-17 01:04 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 3 楼 :D 这么晚了还不睡觉！呵呵打pp 2004-8-17 01:16 0
sixfor 雪币： 236 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 300 粉丝 1 关注私信	sixfor 4 楼学习中……………… 2004-8-17 02:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼支持. 对了,上次我说crack版的acp1.06加壳后还有提示,已经找到原因了. 说出来会把大家气倒,先做好准备啊,我说了. 原因是我之前已经用原版加过一遍壳了(啊,谁仍西红柿呢),我可笨的够可以的了.不过我用修改版的OD运行apc1.21的壳没问题,这个1.06的不管是原版还是crack版的壳,都不行 2004-8-17 02:38 0
学习雪币： 2870 活跃值： (2335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 163 粉丝 1 关注私信	学习 6 楼学习！！！！ 2004-8-17 07:54 0
email123 雪币： 15078 活跃值： (4125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 227 粉丝 1 关注私信	email123 7 楼 fly,脱过6.0的crypkey主程序吗？ 2004-8-17 20:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼没见过CrypKey V6.0主程序听说加了不少Anti 2004-8-17 20:12 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 9 楼 fly兄，你的email我回了，不知道收到没有;) 2004-8-17 21:00 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼晕倒，没收到回信 :o 还以为你没收到 2004-8-17 23:04 0
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 11 楼谢谢fly 2004-8-17 23:34 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 12 楼 oOO 2004-8-18 08:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼附件压缩包含有： CKI32h.DLL UnPacked-CKI32h.DLL 树文件.txt 附件:UnPacked.rar 2004-8-17 01:04 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 3 楼 :D 这么晚了还不睡觉！呵呵打pp 2004-8-17 01:16 0
sixfor 雪币： 236 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 300 粉丝 1 关注私信	sixfor 4 楼学习中……………… 2004-8-17 02:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼支持. 对了,上次我说crack版的acp1.06加壳后还有提示,已经找到原因了. 说出来会把大家气倒,先做好准备啊,我说了. 原因是我之前已经用原版加过一遍壳了(啊,谁仍西红柿呢),我可笨的够可以的了.不过我用修改版的OD运行apc1.21的壳没问题,这个1.06的不管是原版还是crack版的壳,都不行 2004-8-17 02:38 0
学习雪币： 2870 活跃值： (2335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 163 粉丝 1 关注私信	学习 6 楼学习！！！！ 2004-8-17 07:54 0
email123 雪币： 15078 活跃值： (4125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 227 粉丝 1 关注私信	email123 7 楼 fly,脱过6.0的crypkey主程序吗？ 2004-8-17 20:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼没见过CrypKey V6.0主程序听说加了不少Anti 2004-8-17 20:12 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 9 楼 fly兄，你的email我回了，不知道收到没有;) 2004-8-17 21:00 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼晕倒，没收到回信 :o 还以为你没收到 2004-8-17 23:04 0
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 11 楼谢谢fly 2004-8-17 23:34 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 12 楼 oOO 2004-8-18 08:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复