【软件名称】Vbox 4.2实例 Insta3De(《加密与解密》书13.2.2 )
【应用平台】Win2000 SP4
【作者邮箱】chubing6143@sina.com
【使用工具】OllyDbg1.10
【软件限制】VBOX4.20
【破解工具】OllyDbg v1.10

【破解过程】
写在前面的话:
《加密与解密》一书中讲解的时利用TRW2000如何去除该例子的保护,然而我用OD脱壳时,遇到了不少困难(先说明,我是在Win2K平台下脱壳的,我没有试其他系统),因此将过程写出来,希望对我等菜鸟有一定的帮助.

按照书上讲解,我首先利用OD加载程序,然后,F9运行,然后弹出VBOX保护界面,在OD中下断BP GetProcAddress,此时想去点击"Try"按钮,但是不能够了,因为总是被OD拦截下来了.

0012DCFC    3B055C79  /CALL 到 GetProcAddress 来自 IMSC40A.3B055C73
0012DD00    796D0000  |hModule = 796D0000 (ADVAPI32)
0012DD04    3B034248  \ProcNameOrOrdinal = "CheckTokenMembership"

作为菜鸟这下可完蛋了.我想到一个办法,不是不能点击"Try"按钮吗?我先对"Try"按钮下WM_LBUTTONUP消息断点,然后被中断之后再下断BP GetProcAddress不就行了嘛!菜鸟也能变通了吧!

F9运行,然后弹出VBOX保护界面,对"Try"按钮下WM_LBUTTONUP消息断点,点击Try按钮,
程序被中断下来了:
77E062C3 [>  55             push ebp
77E062C4     8BEC           mov ebp,esp
77E062C6     8B4D 08        mov ecx,dword ptr ss:[ebp+8]
77E062C9     56             push esi
77E062CA     57             push edi
77E062CB     E8 00CDFEFF    call USER32.77DF2FD0
堆栈显示：
0012E32C    77DF2CA8  /CALL 到 Assumed WinProc 来自 USER32.77DF2CA5
0012E330    003801EA  |hWnd = 003801EA ('&Try',class='Button',parent=00BB01CE)
0012E334    00000202  |Message = WM_LBUTTONUP
0012E338    00000000  |Keys = 0
0012E33C    000B0036  \X = 54. Y = 11.

此时,再在OD中下断BP GetProcAddress,F9运行一下:
程序被中断下来,
77E6E6A9 K>  55             push ebp                      ; 中断在此处
77E6E6AA     8BEC           mov ebp,esp
77E6E6AC     51             push ecx
77E6E6AD     51             push ecx
77E6E6AE     53             push ebx
77E6E6AF     57             push edi
77E6E6B0     8B7D 0C        mov edi,dword ptr ss:[ebp+C]
77E6E6B3     BB FFFF0000    mov ebx,0FFFF
77E6E6B8     3BFB           cmp edi,ebx
77E6E6BA     0F86 D3EB0000  jbe KERNEL32.77E7D293
77E6E6C0     8D45 F8        lea eax,dword ptr ss:[ebp-8]
77E6E6C3     57             push edi
77E6E6C4     50             push eax
77E6E6C5     FF15 2413E677  call dword ptr ds:[<&NTDLL.Rt>; ntdll.RtlInitString

F2取消断点,Ctrl+F9
程序运行到下面代码处:
77E6E706     C2 0800        retn 8
77E6E709   - FF25 2013E677  jmp dword ptr ds:[<&NTDLL.Ldr>; ntdll.LdrGetProcedureAddress

F8运行,程序运行到下面代码:
08F74EB1     FF15 5458FE08  call dword ptr ds:[8FE5854]   ; KERNEL32.GetProcAddress
08F74EB7     3BC3           cmp eax,ebx                              ; 中断在这儿

运行到08F74EB7处后Ctrl+F9运行,等待时间稍长,运行到下面代码处：
08F7502B     C3             retn                                     ; 中断在这儿
08F7502C     55             push ebp
08F7502D     8BEC           mov ebp,esp

F8 运行,程序来到下面的位置：
08F71C95     E8 772F0000    call vboxt420.08F74C11
08F71C9A     8B75 08        mov esi,dword ptr ss:[ebp+8]
08F71C9D     83C4 20        add esp,20
08F71CA0     837E 10 00     cmp dword ptr ds:[esi+10],0
08F71CA4     74 5F          je short vboxt420.08F71D05
08F71CA6     8D8D 38FFFFFF  lea ecx,dword ptr ss:[ebp-C8]
08F71CAC     E8 1FB70100    call vboxt420.08F8D3D0

Ctrl+F9运行,运行到下面代码处：
08F73920     C2 1000        retn 10                       ; 中断在这儿
08F73923     8B0D 58F8FD08  mov ecx,dword ptr ds:[8FDF858>
08F73929     85C9           test ecx,ecx
08F7392B     74 05          je short vboxt420.08F73932

F8 运行,程序来到下面的位置：
08F5049A     FFD0           call eax
08F5049C     B8 01000000    mov eax,1
08F504A1     5F             pop edi

Ctrl+F9运行,运行到下面代码处：
08F504AB     C3             retn                           ; 中断在这儿

F8 运行,程序来到下面的位置：
08F50248     E8 9A000000    call 08F502E7
08F5024D     83C4 04        add esp,4
08F50250     85C0           test eax,eax
08F50252     75 0A          jnz short 08F5025E

Ctrl+F9运行,运行到下面代码处：
08F502C8     C2 0C00        retn 0C                        ; 中断在这儿

F8 运行,程序来到下面的位置：
08F5011C     E8 06000000    call 08F50127
08F50121     5F             pop edi                       ; 08DF00C8

Ctrl+F9运行,运行到下面代码处：
08F50124     C2 0400        retn 4                        ; 中断在这儿，我个人总结VBOX保护中碰到retn 4的时候
                                                          ; 其实就要返回关键地方了，而且破解VBOX4.3与4.2保护时经过的RET次数都一样

F8 运行,程序来到下面的位置：
08F20454     FFD6           call esi                      ; 这就使书上讲的关键的CALL ESI了，设断点
08F20456     5B             pop ebx                       ; Insta3De.00692048
08F20457     85C0           test eax,eax
08F20459     74 2E          je short 08F20489
08F2045B     68 00800000    push 8000
08F20460     6A 00          push 0
08F20462     56             push esi
08F20463     8B75 08        mov esi,dword ptr ss:[ebp+8]
08F20466     FF56 78        call dword ptr ds:[esi+78]
08F20469     8B45 0C        mov eax,dword ptr ss:[ebp+C]
08F2046C     68 00800000    push 8000
08F20471     6A 00          push 0
08F20473     50             push eax

在08F20454处F2,然后F9运行,程序再次中断在此处,然后F2取消断点,此时F7进入该CALL,然后一路F8

0FC60000     0BC0           or eax,eax
0FC60002     74 00          je short 0FC60004
0FC60004     33C4           xor eax,esp
0FC60006     8CE0           mov ax,fs
0FC60008     2BC4           sub eax,esp
0FC6000A     2BC5           sub eax,ebp
0FC6000C     33C5           xor eax,ebp
0FC6000E     90             nop
0FC6000F     0BC5           or eax,ebp
0FC60011     8CE0           mov ax,fs
0FC60013     F7D0           not eax
0FC60015     86E0           xchg al,ah
0FC60017     32E0           xor ah,al
0FC60019     0BC5           or eax,ebp
0FC6001B     EB 62          jmp short 0FC6007F
......
0FC6007F     55             push ebp
0FC60080     8BEC           mov ebp,esp
0FC60082     83C4 F8        add esp,-8
0FC60085     56             push esi
0FC60086     57             push edi
0FC60087     EB 08          jmp short 0FC60091
0FC60089     0000           add byte ptr ds:[eax],al
0FC6008B     0000           add byte ptr ds:[eax],al
0FC6008D     0000           add byte ptr ds:[eax],al
0FC6008F     0000           add byte ptr ds:[eax],al
0FC60091     EB 2F          jmp short 0FC600C2
......
0FC600C2    /EB 24          jmp short 0FC600E8
......
0FC600E8     8B75 08        mov esi,dword ptr ss:[ebp+8]  ; Insta3De.00692048
0FC600EB     8B86 00010000  mov eax,dword ptr ds:[esi+100>
0FC600F1     8BD8           mov ebx,eax
0FC600F3     53             push ebx
0FC600F4     81C3 45000000  add ebx,45
0FC600FA     895D FC        mov dword ptr ss:[ebp-4],ebx
0FC600FD     5B             pop ebx
0FC600FE     8BFB           mov edi,ebx
0FC60100     81C7 28000000  add edi,28
0FC60106     897D F8        mov dword ptr ss:[ebp-8],edi
0FC60109     FF75 F8        push dword ptr ss:[ebp-8]
0FC6010C     FF75 FC        push dword ptr ss:[ebp-4]
0FC6010F     FF75 08        push dword ptr ss:[ebp+8]
0FC60112     E8 08000000    call 0FC6011F                 ; 短距离CALL,实际上就是跳转了,F7跟进去,如果F8的话就会运行
......
0FC8011F     8B4C24 0C      mov ecx,dword ptr ss:[esp+C]
0FC80123     83EC 10        sub esp,10
0FC80126     8A01           mov al,byte ptr ds:[ecx]
0FC80128     53             push ebx
0FC80129     55             push ebp
0FC8012A     56             push esi
0FC8012B     84C0           test al,al
0FC8012D     57             push edi
0FC8012E     74 0C          je short 0FC8013C
0FC80130     F6D0           not al
0FC80132     8801           mov byte ptr ds:[ecx],al
0FC80134     8A41 01        mov al,byte ptr ds:[ecx+1]
0FC80137     41             inc ecx
0FC80138     84C0           test al,al
0FC8013A   ^ 75 F4          jnz short 0FC80130
0FC8013C     8B6C24 24      mov ebp,dword ptr ss:[esp+24]
0FC80140     8BBD D4000000  mov edi,dword ptr ss:[ebp+D4]
0FC80146     8BB5 DC000000  mov esi,dword ptr ss:[ebp+DC]
0FC8014C     897424 10      mov dword ptr ss:[esp+10],esi
0FC80150     66:8B07        mov ax,word ptr ds:[edi]
0FC80153     66:35 F80A     xor ax,0AF8
0FC80157     66:3D B550     cmp ax,50B5
0FC8015B     74 04          je short 0FC80161
0FC8015D     33C0           xor eax,eax
0FC8015F     EB 23          jmp short 0FC80184
0FC80161     8B47 3C        mov eax,dword ptr ds:[edi+3C]
0FC80164     33C9           xor ecx,ecx
0FC80166     03C7           add eax,edi
0FC80168     66:8B08        mov cx,word ptr ds:[eax]
0FC8016B     F7D1           not ecx
0FC8016D     81F1 E44B0000  xor ecx,4BE4
0FC80173     81F9 4BF1FFFF  cmp ecx,-0EB5
0FC80179     74 04          je short 0FC8017F
0FC8017B     33C0           xor eax,eax
0FC8017D     EB 05          jmp short 0FC80184
0FC8017F     8B40 78        mov eax,dword ptr ds:[eax+78]
0FC80182     03C7           add eax,edi
0FC80184     85C0           test eax,eax
0FC80186     0F84 93000000  je 0FC8021F
0FC8018C     8B50 1C        mov edx,dword ptr ds:[eax+1C]
0FC8018F     8B48 20        mov ecx,dword ptr ds:[eax+20]
0FC80192     8B58 24        mov ebx,dword ptr ds:[eax+24]
0FC80195     03D7           add edx,edi
0FC80197     03CF           add ecx,edi
0FC80199     03DF           add ebx,edi
0FC8019B     F7C6 00000080  test esi,80000000
0FC801A1     895424 1C      mov dword ptr ss:[esp+1C],edx
0FC801A5     895C24 18      mov dword ptr ss:[esp+18],ebx
0FC801A9     74 17          je short 0FC801C2
0FC801AB     81E6 FFFFFF7F  and esi,7FFFFFFF
0FC801B1     4E             dec esi
0FC801B2     8BCE           mov ecx,esi
0FC801B4     8B70 14        mov esi,dword ptr ds:[eax+14]
0FC801B7     3BCE           cmp ecx,esi
0FC801B9     73 64          jnb short 0FC8021F
0FC801BB     8B048A         mov eax,dword ptr ds:[edx+ecx>
0FC801BE     03C7           add eax,edi
0FC801C0     EB 5F          jmp short 0FC80221
0FC801C2     8B40 18        mov eax,dword ptr ds:[eax+18]
0FC801C5     33D2           xor edx,edx
0FC801C7     85C0           test eax,eax
0FC801C9     894424 14      mov dword ptr ss:[esp+14],eax
0FC801CD     76 50          jbe short 0FC8021F
0FC801CF     8BE9           mov ebp,ecx
0FC801D1     EB 04          jmp short 0FC801D7
0FC801D3     8B7424 10      mov esi,dword ptr ss:[esp+10]
0FC801D7     8B4D 00        mov ecx,dword ptr ss:[ebp]
0FC801DA     8BC7           mov eax,edi
0FC801DC     03C1           add eax,ecx
0FC801DE     8A18           mov bl,byte ptr ds:[eax]
0FC801E0     8ACB           mov cl,bl
0FC801E2     3A1E           cmp bl,byte ptr ds:[esi]
0FC801E4     75 1C          jnz short 0FC80202
0FC801E6     84C9           test cl,cl
0FC801E8     74 14          je short 0FC801FE
0FC801EA     8A58 01        mov bl,byte ptr ds:[eax+1]
0FC801ED     8ACB           mov cl,bl
0FC801EF     3A5E 01        cmp bl,byte ptr ds:[esi+1]
0FC801F2     75 0E          jnz short 0FC80202
0FC801F4     83C0 02        add eax,2
0FC801F7     83C6 02        add esi,2
0FC801FA     84C9           test cl,cl
0FC801FC   ^ 75 E0          jnz short 0FC801DE
0FC801FE     33C0           xor eax,eax
0FC80200     EB 05          jmp short 0FC80207
0FC80202     1BC0           sbb eax,eax
0FC80204     83D8 FF        sbb eax,-1
0FC80207     85C0           test eax,eax
0FC80209     0F84 C1000000  je 0FC802D0
0FC8020F     8B4424 14      mov eax,dword ptr ss:[esp+14]
0FC80213     42             inc edx
0FC80214     83C5 04        add ebp,4
0FC80217     3BD0           cmp edx,eax
0FC80219   ^ 72 B8          jb short 0FC801D3             ; 在这里循环,向上搜索大跳转,发现0FC801C0    /EB 5F          jmp short 0FC80221
0FC8021B     8B6C24 24      mov ebp,dword ptr ss:[esp+24]
0FC8021F     33C0           xor eax,eax
0FC80221     8B4C24 2C      mov ecx,dword ptr ss:[esp+2C] ; 此处F4
0FC80225     51             push ecx
0FC80226     57             push edi
0FC80227     FFD0           call eax                      ; EAX对应KERNEL32.GetProcAddress
0FC80229     85C0           test eax,eax
0FC8022B     8985 9C000000  mov dword ptr ss:[ebp+9C],eax
0FC80231     75 0A          jnz short 0FC8023D
0FC80233     5F             pop edi
0FC80234     5E             pop esi
0FC80235     5D             pop ebp
0FC80236     5B             pop ebx
0FC80237     83C4 10        add esp,10
0FC8023A     C2 0C00        retn 0C
0FC8023D     8D5424 24      lea edx,dword ptr ss:[esp+24]
0FC80241     52             push edx
0FC80242     55             push ebp
0FC80243     E8 A7000000    call 0FC802EF                 ; 此处F7进去
......
0FC802EF     55             push ebp                      ; Insta3De.00692048
0FC802F0     8BEC           mov ebp,esp
0FC802F2     83EC 14        sub esp,14
0FC802F5     53             push ebx
0FC802F6     56             push esi
0FC802F7     57             push edi
0FC802F8     8B45 08        mov eax,dword ptr ss:[ebp+8]
0FC802FB     8B88 20010000  mov ecx,dword ptr ds:[eax+120>
0FC80301     894D F8        mov dword ptr ss:[ebp-8],ecx
0FC80304     8B55 08        mov edx,dword ptr ss:[ebp+8]
0FC80307     8B82 24010000  mov eax,dword ptr ds:[edx+124>
0FC8030D     8945 FC        mov dword ptr ss:[ebp-4],eax
0FC80310     8B4D FC        mov ecx,dword ptr ss:[ebp-4]
0FC80313     8B11           mov edx,dword ptr ds:[ecx]
0FC80315     83E2 01        and edx,1
0FC80318     85D2           test edx,edx
0FC8031A     74 18          je short 0FC80334
0FC8031C     8B45 FC        mov eax,dword ptr ss:[ebp-4]
0FC8031F     8B08           mov ecx,dword ptr ds:[eax]
0FC80321     83E1 02        and ecx,2
0FC80324     85C9           test ecx,ecx
0FC80326     74 0C          je short 0FC80334
0FC80328     8B55 FC        mov edx,dword ptr ss:[ebp-4]
0FC8032B     8B02           mov eax,dword ptr ds:[edx]
0FC8032D     83E0 04        and eax,4
0FC80330     85C0           test eax,eax
0FC80332     75 04          jnz short 0FC80338
0FC80334     33C0           xor eax,eax
0FC80336     EB 6E          jmp short 0FC803A6
0FC80338     8B4D F8        mov ecx,dword ptr ss:[ebp-8]
0FC8033B     8179 0C C70000>cmp dword ptr ds:[ecx+C],0C7
0FC80342     75 41          jnz short 0FC80385
0FC80344     8B55 F8        mov edx,dword ptr ss:[ebp-8]
0FC80347     8B45 08        mov eax,dword ptr ss:[ebp+8]
0FC8034A     8B4A 14        mov ecx,dword ptr ds:[edx+14]
0FC8034D     3B48 70        cmp ecx,dword ptr ds:[eax+70]
0FC80350     75 0B          jnz short 0FC8035D
0FC80352     8B55 0C        mov edx,dword ptr ss:[ebp+C]
0FC80355     C702 00000000  mov dword ptr ds:[edx],0
0FC8035B     EB 26          jmp short 0FC80383
0FC8035D     8B45 F8        mov eax,dword ptr ss:[ebp-8]
0FC80360     8B48 14        mov ecx,dword ptr ds:[eax+14]
0FC80363     894D F4        mov dword ptr ss:[ebp-C],ecx
0FC80366     8B55 08        mov edx,dword ptr ss:[ebp+8]
0FC80369     8B42 5C        mov eax,dword ptr ds:[edx+5C]
0FC8036C     50             push eax
0FC8036D     8B4D 08        mov ecx,dword ptr ss:[ebp+8]
0FC80370     8B51 58        mov edx,dword ptr ds:[ecx+58]
0FC80373     52             push edx
0FC80374     8B45 F8        mov eax,dword ptr ss:[ebp-8]
0FC80377     8B48 04        mov ecx,dword ptr ds:[eax+4]
0FC8037A     51             push ecx
0FC8037B     FF55 F4        call dword ptr ss:[ebp-C]
0FC8037E     8B55 0C        mov edx,dword ptr ss:[ebp+C]
0FC80381     8902           mov dword ptr ds:[edx],eax
0FC80383     EB 1C          jmp short 0FC803A1
0FC80385     8B45 F8        mov eax,dword ptr ss:[ebp-8]
0FC80388     8B48 14        mov ecx,dword ptr ds:[eax+14]
0FC8038B     894D EC        mov dword ptr ss:[ebp-14],ecx
0FC8038E     8B5D EC        mov ebx,dword ptr ss:[ebp-14]
0FC80391     FFE3           jmp ebx                       ; 这里会跳到完全解压的主程序，就是OEP了。

F8一下,光明世界就在你的面前:
004E8E90   /.  55           push ebp
004E8E91   |.  8BEC         mov ebp,esp
004E8E93   |.  6A FF        push -1
004E8E95   |.  68 D8285B00  push Insta3De.005B28D8
004E8E9A   |.  68 50E14E00  push Insta3De.004EE150        ;  SE handler installation
004E8E9F   |.  64:A1 000000>mov eax,dword ptr fs:[0]
004E8EA5   |.  50           push eax
004E8EA6   |.  64:8925 0000>mov dword ptr fs:[0],esp
004E8EAD   |.  83C4 A4      add esp,-5C
004E8EB0   |.  53           push ebx
004E8EB1   |.  56           push esi
004E8EB2   |.  57           push edi
004E8EB3   |.  8965 E8      mov dword ptr ss:[ebp-18],esp
004E8EB6   |.  FF15 68F6590>call dword ptr ds:[59F668]    ;  KERNEL32.GetVersion
004E8EBC   |.  A3 E0875F00  mov dword ptr ds:[5F87E0],eax
004E8EC1   |.  A1 E0875F00  mov eax,dword ptr ds:[5F87E0]
004E8EC6   |.  C1E8 08      shr eax,8
004E8EC9   |.  25 FF000000  and eax,0FF
004E8ECE   |.  A3 EC875F00  mov dword ptr ds:[5F87EC],eax
004E8ED3   |.  8B0D E0875F0>mov ecx,dword ptr ds:[5F87E0]
004E8ED9   |.  81E1 FF00000>and ecx,0FF

脱壳完成了.然后用ImprtRec修复一下即大功告成.菜鸟累了,该喝一杯去了!!!

【总结】我按照书上讲解将VBOX几个例子在OD下都脱壳了一遍,觉得有很多共同点:
  1 寻找VBOX关键的CALL ESI或CALL EAX等时一般前面都是RETN 4了.
  2 破解VBOX4.3与4.2保护时经过的RET次数都一样       
  3 对于VBOX4.3如果利用OD直接脱壳，重建输入表有两种方式：
    利用方式1脱壳得到的文件可以直接运行，但是点击运行时时可能会出现内存不可以访问的错误。
    利用方式2脱壳得到的文件不能运行，但是利用ImportRec进行修复之后程序能够完全正常运行。
  4 短距离CALL一定要F7跟进去了.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课