原创:(新老方法)挖掘机V4.01未知壳 脱壳+去自检效+资源修复
进入主题:
1.用到的工具有:
挖掘机V4.01(官方下载地址:http://ma.vvind.com/uploads/digshell.exe)
OLLYDBG (动态调试工具)
PEID (查壳工具)
ImportREC (输入表修复)
RESHACK (资源修改工具)
FixRes (资源修复工具)
2.首先我们用PEID查壳是:Nothing found *(中文版PEID显示:什么也没有或
什么也没
发现)
3.OD载入程序
入口代码:
006213B6 > 60 pushad (入口)
006213B7 E8 12FEFFFF call digshell.006211CE
006213BC C3 retn
一、尝试用ESP定律法
单步一次或按一下F8 在0012ffa4处点右键--选择数据窗口中,然后在数据窗口
下硬件访
问断点或是在命令窗口:hr 0012ffa4 F9运行程序发现程序跑飞,判定此程序无
法用ESP
定律脱壳。
二、(老方法)内存镜像法
ALT+M打开内存映射
在第一个RSRC区段 F2下断点,SHIFT+F9运行
接着打开内存映射
在00401000处下断点,SHIFT+F9运行
中断后F8单步---说明:(程序不能往回跳)
如果程序往回跳,就在下一行按F4步过
0053444C 55 push ebp (OEP)
0053444D 8BEC mov ebp,esp
0053444F 83C4 F0 add esp,-10
DELPHI程序编写
三、进入今天的新方法:断点发(此法可以脱很多加了花指令的程序)
一、脱壳
需要用到一个断点:
bp VirtualFree 内存释放
原因:由于此程序加了花指令所以在运行程序之前要先释放花指令在运行程序。
第一次运行后,不要取消断点ALT+F9返回程序,单步往下走--
第二次调用后,跳过INT3中断,不要取消断点ALT+F9返回程序,单步往下走--
第三次调用后,可以取消断点,因为是第一次分析这里就先不取消断点了,单步
往下走--
经过一大堆单步后来到这里:
0053444C 55 push ebp (OEP)
0053444D 8BEC mov ebp,esp
0053444F 83C4 F0 add esp,-10
用OD自带插件脱壳,我这里用 LOADPE脱壳后有问题,大家可以自己测试LOADPE
脱壳,
脱壳后用ImportREC修复,载入程序填入OEP,自动搜索IAT,获取输入表后修复
脱壳后的
程序。
二、去自检效
运行程序提示:文件头异常,遗似捆绑有木马!是否下载官方版?
根据提示我们载入脱壳后的程序
用OD查找字符串插件查找ASCLL
在文件头异常,疑似捆绑有木马!是否下载官方版?双击来到代码处:
0052A535 /7E 40 jle short unpack_.0052A577
0052A537 |6A 24 push 24
0052A539 |B9 4CA75200 mov ecx,unpack_.0052A74C 警告
0052A53E |BA 54A75200 mov edx,unpack_.0052A754 文件头异
常,疑似
捆绑有木马!是否下载官方版? ;
0052A543 |A1 14895300 mov eax,dword ptr ds:[538914]
0052A548 |8B00 mov eax,dword ptr ds:[eax]
0052A54A |E8 41A5F5FF call unpack_.00484A90 (调用出错信息)
修改程序:jle改JGE (JGE就是:大于或等于转移)
jle改jmp (jmp就是:无条件跳转)
三、资源修复
用RESHACK资源修改工具打开发现程序发现资源无法打开提示:该文件有非标准
资源,它
可能被EXE压缩器压缩了。
用到一个工具FixRes(资源修复工具)
用FixRes打开程序,然后点修复,在次用RESHACK资源修改工具打开后,资源解
开,可以
修改程序了。
教程完毕。
注明:在教程内容中遇到的问题可以进群或联系我帮助解决。
制作教程:扮酷男孩
联系方式:QQ:78414633 群17004808(CRACK技术交流)
Email:2982055@163.com
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
