[求助]Microsoft Visual C++ 7.0 Method2 [调试]加themida 1.0.0.5壳问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

1

[求助]Microsoft Visual C++ 7.0 Method2 [调试]加themida 1.0.0.5壳问题

发表于: 2007-9-19 10:44 9325

[求助]Microsoft Visual C++ 7.0 Method2 [调试]加themida 1.0.0.5壳问题

yuxinxxgc

活跃值

2007-9-19 10:44

9325

OD载入程序，执行脚本到达：
0043103F 6A 02          push 2
00431041 FF15 405C4300 call dword ptr [435C40]             ; msvcrt.__set_app_type
00431047 59             pop    ecx
00431048 830D 80FE5C00 F>or    dword ptr [5CFE80], FFFFFFFF
0043104F 830D 84FE5C00 F>or    dword ptr [5CFE84], FFFFFFFF
00431056 FF15 445C4300 call dword ptr [435C44]             ; msvcrt.__p__fmode
0043105C 8B0D 74FE5C00 mov    ecx, dword ptr [5CFE74]
00431062 8908          mov    dword ptr [eax], ecx
00431064 FF15 485C4300 call dword ptr [435C48]             ; msvcrt.__p__commode
0043106A 8B0D 70FE5C00 mov    ecx, dword ptr [5CFE70]
00431070 8908          mov    dword ptr [eax], ecx
00431072 A1 4C5C4300    mov    eax, dword ptr [435C4C]
00431077 8B00          mov    eax, dword ptr [eax]
00431079 A3 7CFE5C00    mov    dword ptr [5CFE7C], eax
0043107E E8 28010000    call 004311AB
00431083 391D 208E4400 cmp    dword ptr [448E20], ebx
00431089 75 0C          jnz    short 00431097
0043108B 68 A8114300    push 004311A8
00431090 FF15 505C4300 call dword ptr [435C50]             ; msvcrt.__setusermatherr
00431096 59             pop    ecx
00431097 E8 FA000000    call 00431196
0043109C 68 B0614400    push 004461B0
004310A1 68 AC614400    push 004461AC
004310A6 E8 E5000000    call 00431190                      ; jmp 到 msvcrt._initterm
经比较确定应该是Microsoft Visual C++ 7.0 Method2 [调试]程序，经核对Stolen Code如下：
  0046BD79 > $  6A 70       push 70                   ;OEP
0046BD7B .  68 40D74700 push 0047D740             ;(1)
0046BD80 .  E8 53020000 call 0046BFD8             ;(2)
0046BD85 .  33DB       xor    ebx, ebx
0046BD87 .  53          push ebx                                              ; /pModule => NULL
0046BD88 .  8B3D 7C414700 mov    edi, dword ptr [<&KERNEL32.GetModuleHandleA>] (3) ; |kernel32.GetModuleHandleA （原动力为：03C0B7BC SRO）
0046BD8E .  FFD7       call edi                                              ; \GetModuleHandleA
0046BD90 .  66:8138 4D5A  cmp    word ptr [eax], 5A4D
0046BD95 .  75 1F       jnz    short 0046BDB6
0046BD97 .  8B48 3C    mov    ecx, dword ptr [eax+3C]
0046BD9A .  03C8       add    ecx, eax
0046BD9C .  8139 50450000 cmp    dword ptr [ecx], 4550
0046BDA2 .  75 12       jnz    short 0046BDB6
0046BDA4 .  0FB741 18    movzx eax, word ptr [ecx+18]
0046BDA8 .  3D 0B010000 cmp    eax, 10B
0046BDAD .  74 1F       je    short 0046BDCE
0046BDAF .  3D 0B020000 cmp    eax, 20B
0046BDB4 .  74 05       je    short 0046BDBB
0046BDB6 >  895D E4    mov    dword ptr [ebp-1C], ebx
0046BDB9 .  EB 27       jmp    short 0046BDE2
0046BDBB >  83B9 84000000>cmp    dword ptr [ecx+84], 0E
0046BDC2 .^ 76 F2       jbe    short 0046BDB6
0046BDC4 .  33C0       xor    eax, eax
0046BDC6 .  3999 F8000000 cmp    dword ptr [ecx+F8], ebx
0046BDCC .  EB 0E       jmp    short 0046BDDC
0046BDCE >  8379 74 0E cmp    dword ptr [ecx+74], 0E
0046BDD2 .^ 76 E2       jbe    short 0046BDB6
0046BDD4 .  33C0       xor    eax, eax
0046BDD6 .  3999 E8000000 cmp    dword ptr [ecx+E8], ebx
0046BDDC >  0F95C0       setne al
0046BDDF .  8945 E4    mov    dword ptr [ebp-1C], eax
0046BDE2 >  895D FC    mov    dword ptr [ebp-4], ebx
------------------------------------------------------------------------------------------------
上面（1）、（2）、（3）处地址需要修改，其中（1）、（3）的我觉得我找的应该是对的，就是不知道如何去找（2）出Call XXXXXXXX 的地址，哪位知道如何找麻烦告诉我一声，先谢谢了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费

支持

分享

最新回复 (5)
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 2 楼怎么没人理我呀，谁会呀，说说吧 2007-9-19 15:06 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 3 楼找一个和这个Microsoft Visual C++ 7.0 Method2编译一样的程序跟一下对应的CALL就知道了 2007-9-20 06:09 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼我觉得这个应该是vc6.0，oep类似如下： Microsoft Visual C++ 6.0 004382B0 M> 55 push ebp 004382B1 8BEC mov ebp,esp 004382B3 6A FF push -1 004382B5 68 38544400 push Microsof.00445438 004382BA 68 1A844300 push <jmp.&msvcrt._except_handler3> 004382BF 64:A1 00000000 mov eax,dword ptr fs:[0] 004382C5 50 push eax 004382C6 64:8925 00000000 mov dword ptr fs:[0],esp 004382CD 83EC 68 sub esp,68 004382D0 53 push ebx 004382D1 56 push esi 004382D2 57 push edi 004382D3 8965 E8 mov dword ptr ss:[ebp-18],esp 004382D6 33DB xor ebx,ebx 004382D8 895D FC mov dword ptr ss:[ebp-4],ebx 004382DB 6A 02 push 2 004382DD FF15 FCF84300 call dword ptr ds:[<&msvcrt.__set_app_type>] 004382E3 59 pop ecx 004382E4 830D 68174500 FF or dword ptr ds:[451768],FFFFFFFF 004382EB 830D 6C174500 FF or dword ptr ds:[45176C],FFFFFFFF 004382F2 FF15 F8F84300 call dword ptr ds:[<&msvcrt.__p__fmode>] 004382F8 8B0D 5C174500 mov ecx,dword ptr ds:[45175C] 004382FE 8908 mov dword ptr ds:[eax],ecx 00438300 FF15 F4F84300 call dword ptr ds:[<&msvcrt.__p__commode>] 00438306 8B0D 58174500 mov ecx,dword ptr ds:[451758] 0043830C 8908 mov dword ptr ds:[eax],ecx 0043830E A1 F0F84300 mov eax,dword ptr ds:[<&msvcrt._adjust_fdiv>] 00438313 8B00 mov eax,dword ptr ds:[eax] 00438315 A3 64174500 mov dword ptr ds:[451764],eax 0043831A E8 28010000 call Microsof.00438447 0043831F 391D 10EB4400 cmp dword ptr ds:[44EB10],ebx 00438325 75 0C jnz short Microsof.00438333 2007-9-20 08:30 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 5 楼谢谢楼上的，有人回答就多一个思路，呵呵，希望脱过的多提点意见 2007-9-20 09:52 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 6 楼顶您，我写了个VC6的比较了一下，越看越像一个妈生的。谢了 2007-9-20 14:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

yuxinxxgc

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区