⑴脱壳:
该外挂的壳是NsPack 1.4,这是比较少见的,呵呵。ESP定律3秒搞定。
⑵附加数据处理:
用Stud_PE抓取原程序的附加数据,然后用WinHex将其复制,并粘贴到脱壳后的程序尾部。幸运的是,该程序全部是从end开始读取数据,不用修复指针。附加数据处理完毕,大概1分钟。运行,程序界面没显示,估计应该有自校验。
⑶自校验处理:
查看进程目录,没有发现我们刚才运行的程序,说明该程序并不是出现内存方面的错误,应该是已经自动退出了。于是用OD装载脱壳后的程序,bp ExitProcess,F9运行,断在这里:
7C81CAA2 > 8BFF MOV EDI,EDI
7C81CAA4 55 PUSH EBP
7C81CAA5 8BEC MOV EBP,ESP
7C81CAA7 6A FF PUSH -1
7C81CAA9 68 B0F3E877 PUSH 77E8F3B0
7C81CAAE FF75 08 PUSH DWORD PTR SS:[EBP+8]
7C81CAB1 E8 46FFFFFF CALL kernel32.7C81C9FC
7C81CAB6 E9 29CF0100 JMP kernel32.7C8399E4
堆栈:
0012FA80 100298AD /CALL 到 ExitProcess 来自 krnln.100298A7
0012FA84 00000000 \ExitCode = 0
看到krnln了,原来是易语言程序。
我们转到100298A7这里去(在堆栈处按回车):
10029892 55 PUSH EBP
10029893 8BEC MOV EBP,ESP
10029895 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
10029898 50 PUSH EAX
10029899 B9 10DB0E10 MOV ECX,krnln.100EDB10
1002989E E8 4DC40200 CALL krnln.10055CF0
100298A3 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
100298A6 51 PUSH ECX
100298A7 FF15 D4230C10 CALL DWORD PTR DS:[100C23D4] ; kernel32.ExitProcess (这里)
100298AD 5D POP EBP
100298AE C3 RETN
我们在10029892 55 PUSH EBP下硬件执行断点。
重新开始,F9,停在这里:
10029892 55 PUSH EBP
10029893 8BEC MOV EBP,ESP
10029895 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
10029898 50 PUSH EAX
10029899 B9 10DB0E10 MOV ECX,krnln.100EDB10
1002989E E8 4DC40200 CALL krnln.10055CF0
100298A3 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
100298A6 51 PUSH ECX
100298A7 FF15 D4230C10 CALL DWORD PTR DS:[100C23D4] ; kernel32.ExitProcess
100298AD 5D POP EBP
100298AE C3 RETN
为了知道程序是从哪里CALL到这里的(观察堆栈也行),我们把这两句
100298A6 51 PUSH ECX
100298A7 FF15 D4230C10 CALL DWORD PTR DS:[100C23D4] ; kernel32.ExitProcess
nop掉。接着我们按F8,由于那两句被nop掉了,程序并不会退出,程序会返回到这里:
0042B2AE EB 01 JMP SHORT 3.0042B2B1
0042B2B0 0FF972 01 PSUBW MM6,QWORD PTR DS:[EDX+1]
0042B2B4 8A83 7DF4FF0F MOV AL,BYTE PTR DS:[EBX+FFFF47D]
0042B2BA 8411 TEST BYTE PTR DS:[ECX],DL
0042B2BC 0000 ADD BYTE PTR DS:[EAX],AL
0042B2BE 00EB ADD BL,CH
0042B2C0 0178 F8 ADD DWORD PTR DS:[EAX-8],EDI
0042B2C3 73 01 JNB SHORT 3.0042B2C6
0042B2C5 0F6A00 PUNPCKHDQ MM0,QWORD PTR DS:[EAX]
0042B2C8 E8 DC0C0200 CALL 3.0044BFA9
0042B2CD 83C4 04 ADD ESP,4 (返回到这里)
上面的代码显然是花指令,我们处理一下后,得到如下代码:
0042B2AE /EB 01 JMP SHORT 3.0042B2B1
0042B2B0 |90 NOP
0042B2B1 \F9 STC
0042B2B2 72 01 JB SHORT 3.0042B2B5
0042B2B4 90 NOP
0042B2B5 837D F4 FF CMP DWORD PTR SS:[EBP-C],-1
0042B2B9 0F84 11000000 JE 3.0042B2D0
0042B2BF EB 01 JMP SHORT 3.0042B2C2
0042B2C1 90 NOP
0042B2C2 F8 CLC
0042B2C3 73 01 JNB SHORT 3.0042B2C6
0042B2C5 90 NOP
0042B2C6 6A 00 PUSH 0
0042B2C8 E8 DC0C0200 CALL 3.0044BFA9
0042B2CD 83C4 04 ADD ESP,4 (返回到这里)
显然这一句0042B2B9 0F84 11000000 JE 3.0042B2D0可以跳过0042B2C8 E8 DC0C0200 CALL 3.0044BFA9(这个CALL导致程序退出),于是我们把JE改成JNZ即可!修复保存,运行,一切OK!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课