-
-
[原创]XXPack 0.1(UnpackMe)的脱壳
-
发表于: 2007-11-3 14:47
-
周末无聊,在tuts4you下载了个UnPackMe来看看,还算简单,信心没有遭受打击。
反调试手段比较少,就两种:
1、IsDebuggerPresent判断
2、API断点检测
壳特征:
EP代码开始走:
0046D000 > E8 04000000 call 0046D009
0046D009 5D pop ebp
0046D00A EB 05 jmp short 0046D011
基本上都是这种Call、pop、jmp、ret的跳转指令,F8、F7交替使用。
中间有个代码自解密的地方:
简单的异或解密,前一次异或得到的结果作为下一次异或的Key
在0046B8D8 下一句直接F4继续走几下就到了调试器检测地方:
从进程的PEB信息中得到是否被调试,0046B918 movzx eax, byte ptr [eax+2]这里将eax改为0就可躲过检测。
如果不修改的话0046B921处ebx为0
压入的0C3FBF6:
随后的代码中对得到kernel32.GetProcAddress和VirtuallAlloc的地址,并检查第一字节是否为CC
跟踪壳代码的话,接下来所做的工作是释放分配的内存空间、创建互斥体、IAT填充、解密OEP,基本上用到的API都要检查是否被下断点
跳到OEP:
Dump后,Import Rec修复,OEP填271B0,IAT Auto Search即可。
反调试手段比较少,就两种:
1、IsDebuggerPresent判断
2、API断点检测
壳特征:
EP代码开始走:
0046D000 > E8 04000000 call 0046D009
0046D009 5D pop ebp
0046D00A EB 05 jmp short 0046D011
基本上都是这种Call、pop、jmp、ret的跳转指令,F8、F7交替使用。
中间有个代码自解密的地方:
1 2 3 4 5 6 | 0046B8C6 BB DAB84600 mov ebx, 0046B8DA0046B8CB B9 C8030000 mov ecx, 3C80046B8D0 B0 43 mov al, 430046B8D2 300419 xor byte ptr [ecx+ebx], al0046B8D5 8A0419 mov al, byte ptr [ecx+ebx]0046B8D8 ^ E2 F8 loopd short 0046B8D2 |
简单的异或解密,前一次异或得到的结果作为下一次异或的Key
在0046B8D8 下一句直接F4继续走几下就到了调试器检测地方:
1 2 3 4 5 6 7 8 9 10 11 | 0046B903 31C9 xor ecx, ecx0046B905 83C1 10 add ecx, 100046B908 BB FFFFFF77 mov ebx, 77FFFFFF0046B90D 64:8B83 1900008>mov eax, dword ptr fs:[ebx+88000019] ;fs:[18]0046B914 8B4448 10 mov eax, dword ptr [eax+ecx*2+10] ;[eax+30]0046B918 0FB640 02 movzx eax, byte ptr [eax+2]0046B91C F7D0 not eax0046B91E 83E0 01 and eax, 10046B921 89C3 mov ebx, eax0046B923 68 F6FBC300 push 0C3FBF60046B928 E8 00000000 call 0046B92D |
从进程的PEB信息中得到是否被调试,0046B918 movzx eax, byte ptr [eax+2]这里将eax改为0就可躲过检测。
如果不修改的话0046B921处ebx为0
1 2 3 4 | 0046B92D 832C24 33 sub dword ptr [esp], 330046B931 89E6 mov esi, esp0046B933 83C6 04 add esi, 40046B936 FFE6 jmp esi ;跳到压入的堆栈代码处,地址0012FFA0 |
压入的0C3FBF6:
1 2 | 0012FFA0 F6FB idiv bl ;有调试器则bl为0,产生除0异常0012FFA2 C3 retn |
随后的代码中对得到kernel32.GetProcAddress和VirtuallAlloc的地址,并检查第一字节是否为CC
1 2 3 4 5 6 7 8 9 10 | 0046B9F3 57 push edi0046B9F4 6A 00 push 00046B9F6 FFD0 call eax ;分配空间0046B9F8 85C0 test eax, eax0046B9FA 74 52 je short 0046BA4E0046B9FC 50 push eax0046B9FD 8D95 00100000 lea edx, dword ptr [ebp+1000]0046BA03 50 push eax0046BA04 52 push edx0046BA05 E8 EC010000 call 0046BBF6 ;APLib解码 |
跟踪壳代码的话,接下来所做的工作是释放分配的内存空间、创建互斥体、IAT填充、解密OEP,基本上用到的API都要检查是否被下断点
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | 0046BB4F 83C7 04 add edi, 40046BB52 A9 00000080 test eax, 800000000046BB57 74 08 je short 0046BB610046BB59 25 FFFF0000 and eax, 0FFFF0046BB5E 50 push eax0046BB5F EB 06 jmp short 0046BB670046BB61 01E8 add eax, ebp0046BB63 83C0 02 add eax, 20046BB66 50 push eax0046BB67 53 push ebx0046BB68 FFD6 call esi0046BB6A 5A pop edx0046BB6B 59 pop ecx0046BB6C 85C0 test eax, eax0046BB6E ^ 0F84 DAFEFFFF je 0046BA4E0046BB74 8038 CC cmp byte ptr [eax], 0CC0046BB77 ^ 0F84 D1FEFFFF je 0046BA4E0046BB7D 8902 mov dword ptr [edx], eax ;填充地址0046BB7F 83C2 04 add edx, 40046BB82 ^ EB A4 jmp short 0046BB280046BB84 5F pop edi0046BB85 83C1 14 add ecx, 140046BB88 8379 0C 00 cmp dword ptr [ecx+C], 00046BB8C ^ 0F85 65FFFFFF jnz 0046BAF70046BB92 90 nop ;这里F4完成IAT解密过程0046BB93 EB 04 jmp short 0046BB99 |
跳到OEP:
1 2 3 4 5 6 7 8 9 10 | 0046BB99 68 B0710200 push 271B00046BB9E 79 08 jns short 0046BBA8 ;这里会跳走0046BBA0 53 push ebx0046BBA1 81C9 00000000 or ecx, 00046BBA7 5B pop ebx0046BBA8 3BD0 cmp edx, eax0046BBAA C1C9 E0 ror ecx, 0E00046BBAD F8 clc0046BBAE 012C24 add dword ptr [esp], ebp ;00400000+271B0=004271B00046BBB1 C3 retn |
Dump后,Import Rec修复,OEP填271B0,IAT Auto Search即可。
