好久没怎么脱过壳,最近碰到一个软件是用arm加的壳,用到了arm的输入表乱序和远地址跳转,只有找些资料来补课,略有些心得,还望指正。
下面以某软件为例,这个是arm3.70a加的壳,单进程,用了输入表乱序和远地址跳转。某软件已经是双进程CC壳了,还不敢碰,:(
第1部分:准备工作&抵达OEP
先需要找到一些基本数据
1. OEP
设断点he SetProcessWorkingSetSize断下后再设断点he GetCurrentThreadId
断下后,Ctrl+F9返回,去除这两个断点,向下看,看到那个call edi了没,在按F2那里设个断点
断下后,F7跟入,就来到OEP了
记住: OEP=004E8850
2. magicjump
好几个地方修改跳转都可以放置arm破坏输入表的,都可以称之为magicjump
来看arm处理输入表的流程
先将一些预设的api经过处理
然后在读入输入表时候,比较api名称是否为壳中处理过的api名称
如果相同则将该地址指向壳中的函数地址,程序所得到的地址就指向壳里了,importRec就识别不出该
api了
这个虽然代码比较长,不过流程还算清楚,可以跟上几遍就大概知道是怎么回事了
因为相关文章比较多,这里简单看一下
00DC96FD 8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP-14C]
00DC9703 50 PUSH EAX
00DC9704 FF15 C8B0DE00 CALL DWORD PTR DS:[DEB0C8] ;
kernel32.GetModuleHandleA
00DC970A 8B0D C04CDF00 MOV ECX,DWORD PTR DS:[DF4CC0]
00DC9710 89040E MOV DWORD PTR DS:[ESI+ECX],EAX
00DC9713 A1 C04CDF00 MOV EAX,DWORD PTR DS:[DF4CC0]
00DC9718 393C06 CMP DWORD PTR DS:[ESI+EAX],EDI
00DC971B 75 16 JNZ SHORT 00DC9733
00DC971D 8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP-14C]
00DC9723 50 PUSH EAX
00DC9724 FF15 D0B0DE00 CALL DWORD PTR DS:[DEB0D0] ;
kernel32.LoadLibraryA
00DC972A 8B0D C04CDF00 MOV ECX,DWORD PTR DS:[DF4CC0]
00DC9730 89040E MOV DWORD PTR DS:[ESI+ECX],EAX
00DC9733 A1 C04CDF00 MOV EAX,DWORD PTR DS:[DF4CC0]
00DC9738 393C06 CMP DWORD PTR DS:[ESI+EAX],EDI
00DC973B 0F84 AD000000 JE 00DC97EE //magicjump 记录该地址
值
00DC9741 33C9 XOR ECX,ECX
如果是dll可能还需要更改这个地址,od载入dll基地址为10000000,而输入表在该地址以下
造成在ImportRec设不了IAT RVA地址
00DE489D 8B85 1CE8FFFF MOV EAX,DWORD PTR SS:[EBP-17E4] //保存当前IAT指针
00DE48A3 8B8D 80E2FFFF MOV ECX,DWORD PTR SS:[EBP-1D80]
00DE48A9 8908 MOV DWORD PTR DS:[EAX],ECX //一个api地址写入IAT
00DE48AB 8B85 1CE8FFFF MOV EAX,DWORD PTR SS:[EBP-17E4]
00DE48B1 83C0 04 ADD EAX,4
00DE48B4 8985 1CE8FFFF MOV DWORD PTR SS:[EBP-17E4],EAX
对[EBP-17E4]来设内存写断点,可以找到这里
00DE453B 8B8D F0E6FFFF MOV ECX,DWORD PTR SS:[EBP-1910] //保存IAT的首地址,记录
该地址值00E9A880
00DE4541 8D0481 LEA EAX,DWORD PTR DS:[ECX+EAX*4]
00DE4544 8985 1CE8FFFF MOV DWORD PTR SS:[EBP-17E4],EAX //载入下一个dll的IAT中
首地址
3.antidump
OD把原代码中一些代码,jmp较高的地址了 如jmp 03171000,造成lordpe dump文件时候,这段代码丢
失,
该地址是不是固定的。
可以直接下断VirtualAlloc,查看申请地址值,如果比较大就需要注意了,返回后代码类似下面
00DE2612 6A 40 PUSH 40
00DE2614 68 00200000 PUSH 2000
00DE2619 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990]
00DE261F FF35 3092DF00 PUSH DWORD PTR DS:[DF9230]
00DE2625 FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ;
kernel32.VirtualAlloc
00DE262B 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX
00DE2631 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0
00DE2638 74 33 JE SHORT 00DE266D
00DE263A 6A 40 PUSH 40
00DE263C 68 00100000 PUSH 1000
00DE2641 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990]
00DE2647 FF35 3092DF00 PUSH DWORD PTR DS:[DF9230]
00DE264D FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ;
kernel32.VirtualAlloc
00DE2653 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX //保存codesplit 首地
址 在这里断下修改eax值到一较低地址我选择写到arm的adata节
00DE2659 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0
00DE2660 74 0B JE SHORT 00DE266D
记录CodeSplit addr=00DE2653
4. 用脚本来走到OEP
因为要修改的地方比较多,而且后面我们调试脚本难免要重复工作,所以还是写个od脚本吧,可以节省点体力 :)
因为要向rdata段写IAT数据,所以先将该段内存设为可写
Memory窗口选中该段,右键set access ->full access
//脚本1,直达OEP,顺便处理magicjump和antidump
var NewIatHead
var NewSplitCodeHead
var SetIatHead
var SetSplitCodeHead
var IatOver
var MagicJmp
var OEP
var bSplitCodeOver
var bIatOver
var pTempAddr
var VirtualAlloc
//需要填入的信息内容
mov NewIatHead, 5CA000
mov NewSplitCodeHead, 674000
mov MagicJmp, 00DC973B
mov SetIatHead, 00DE453B
mov IatOver, 00DE498E
mov SetSplitCodeHead, 00DE2653
mov OEP, 004E8850
//变量初始化
mov bIatOver, 0
mov bSplitCodeOver, 0
//获得VirtualAlloc首地址
gpa "VirtualAlloc", "kernel32.dll"
mov VirtualAlloc, $RESULT
BPHWS VirtualAlloc, "x"
run
BPHWC VirtualAlloc
//此时,壳内存代码已分配
//开始设断点
BPHWS MagicJmp, "x" //magicjump之处
//BPHWS 00994704, "x" 写入内存时
BPHWS SetIatHead, "x" //载入输入表首地址时候
BPHWS IatOver, "x" //处理完所有dll
BPHWS SetSplitCodeHead, "x" //申请高位内存处,需更改返回eax为一段低位内存
eoe _Exception
eob _Break
run
//遇例外继续执行
_Exception:
esto
//处理断点中断
_Break:
cmp eip, SetIatHead
je _SetIatHead
cmp eip, MagicJmp
je _MagicJmp
cmp eip, IatOver
je _IATOver
cmp eip, SetSplitCodeHead
je _SetSplitCodeHead
jmp _InvalidBreak
//设置新的IAT首地址
/*
00DE453B 8B8D F0E6FFFF MOV ECX,DWORD PTR SS:[EBP-1910] //保存IAT的首地址
00DE4541 8D0481 LEA EAX,DWORD PTR DS:[ECX+EAX*4]
00DE4544 8985 1CE8FFFF MOV DWORD PTR SS:[EBP-17E4],EAX //当前IAT指针
*/
_SetIatHead:
mov pTempAddr, ebp
sub pTempAddr, 1910 //看上面数据
mov [pTempAddr], NewIatHead
log NewIatHead
BPHWC SetIatHead
run
//修改magicjump, 来得到原始的IAT
_MagicJmp:
mov !ZF, 1 //修改magicjump
run
//maigcjump处理完毕
_IATOver:
BPHWC MagicJmp
BPHWC IatOver
mov bIatOver, 1
cmp bSplitCodeOver,1
je _FixOver
run
//设置新的保存CodeSplit代码的首地址
/*
00DE263A 6A 40 PUSH 40
00DE263C 68 00100000 PUSH 1000
00DE2641 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990]
00DE2647 FF35 3092DF00 PUSH DWORD PTR DS:[DF9230]
00DE264D FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ;
kernel32.VirtualAlloc
00DE2653 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX //保存antidump首地址
00DE2659 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0
00DE2660 74 0B JE SHORT 00DE266D
*/
_SetSplitCodeHead:
mov eax, NewSplitCodeHead
mov bSplitCodeOver, 1
BPHWC SetSplitCodeHead
cmp bIatOver,1
je _FixOver
run
//其它未处理的断点
_InvalidBreak:
log eip
msg "Invalid Break"
ret
//IAT,AntiDump处理完毕
//准备跳往OEP
_FixOver:
eoe _Continue
eob _End
BPHWS OEP, "x"
run
_Continue:
esto
_End:
BPHWC OEP
msg "Success!"
ret
第2部分. 修复IAT乱序
1, 关于IAT乱序
arm从3.60开始添加了新的功能输入表乱序(ImportTable Elimination)
再我们修改了magicjmp后得到漂亮的IAT, 可惜马上就被arm给破坏了,将顺序打乱,而且算法有些复
杂,不好反求。
00DE498E 8B85 FCE6FFFF MOV EAX,DWORD PTR SS:[EBP-1904] //上面的脚本中IatOver
地址
00DE4994 8985 F4CFFFFF MOV DWORD PTR SS:[EBP-300C],EAX
00DE499A FFB5 F4CFFFFF PUSH DWORD PTR SS:[EBP-300C]
00DE49A0 E8 855E0000 CALL 00DEA82A ; JMP to msvcrt.??
3@YAXPAX@Z
00DE49A5 59 POP ECX
00DE49A6 83BD F0E6FFFF 0>CMP DWORD PTR SS:[EBP-1910],0
...
00DE4AA2 8985 64E1FFFF MOV DWORD PTR SS:[EBP-1E9C],EAX
00DE4AA8 8B85 60E1FFFF MOV EAX,DWORD PTR SS:[EBP-1EA0]
00DE4AAE 8D0485 04000000 LEA EAX,DWORD PTR DS:[EAX*4+4]
00DE4AB5 50 PUSH EAX
00DE4AB6 8B85 F0E6FFFF MOV EAX,DWORD PTR SS:[EBP-1910]
00DE4ABC 83C0 04 ADD EAX,4
00DE4ABF 50 PUSH EAX
00DE4AC0 FFB5 F0E6FFFF PUSH DWORD PTR SS:[EBP-1910]
00DE4AC6 FF15 D4B2DE00 CALL DWORD PTR DS:[DEB2D4] ; msvcrt.memmove //
将IAT向前循环移动2个DWORD,打乱IAT
00DE4ACC 83C4 0C ADD ESP,0C
00DE4ACF 8B85 60E1FFFF MOV EAX,DWORD PTR SS:[EBP-1EA0]
00DE4AD5 8B8D F0E6FFFF MOV ECX,DWORD PTR SS:[EBP-1910]
00DE4ADB 8B95 64E1FFFF MOV EDX,DWORD PTR SS:[EBP-1E9C]
00DE4AE1 891481 MOV DWORD PTR DS:[ECX+EAX*4],EDX
00DE4AE4 ^ E9 47FFFFFF JMP 00DE4A30
使得我们在ImportRec中看到这样排列的IAT,从而无法生成新的输入表
1 001CA0D0 kernel32.dll 01A7 GetProfileIntA
1 001CA0D4 comctl32.dll 002B ImageList_AddMasked
1 001CA0D8 user32.dll 005B CreateIconIndirect
1 001CA0DC user32.dll 00F7 GetClassInfoA
1 001CA0E0 gdi32.dll 01CE LineTo
1 001CA0E4 user32.dll 008F DefWindowProcA
1 001CA0E8 kernel32.dll 015C GetFileSize
1 001CA0EC gdi32.dll 01BA GetTextFaceA
1 001CA0F0 gdi32.dll 01C3 GetWindowExtEx
2. 整理IAT
在Ricardo Narvaja的203-208教程中给出了一个很脚本,用来整理IAT,生成一个新的排列整齐的IAT,
原来的IAT中的地址值则改为指针指向这个新IAT表中的项,这个脚脚本说明参见Ricardo的207教程。里面跳转有点多,我估摸着加了点注释。
举例
原先IAT中一项为
005CA000 45 2D E1 77 E-狩今
在运行脚本后
005CA000 D0 AD 5C 00 协\.?
005CADD0 45 2D E1 77 E-狩p
当然这样做以后,call所调用的地址就不对了
call [005CA000] // 77E12D45call Kernel32.SetUnhandledExceptionFilter
故而Ricardo 在OEP处插入了一段程序来,将排列好的IAT,再次还原到原先打乱的状态,不过这样出
来的程序在静态反编译时,函数会识别不出,不便于分析。
在下面1节将会采用一段脚本来处理这个问题
在OEP处运行
//脚本2,将ARM混乱的IAT重新整理
//来自Ricardo Narvaja的207号教程,略做修改
var it
var it2
var x
var y
var pit
var pit2
var dll
var dll1
var pitt
var it1_end
var base
var savecode
//需要设定的内容
mov it,5CA000 //混乱IAT首址
mov it1_end,5CAD90 //混乱IAT末址
mov it2,5CADD0 //待存放整理后的IAT首址
//
mov savecode,[eip] //保存当前eip指向内容
mov [eip], #EBFE# //jmp eip,由于整理IAT比较慢,用于待会刷新界面,防界面假死
gmi eip, MODULEBASE //取主文件的基址
log $RESULT
mov base,$RESULT
INICIO: //初始化
mov pitt,it //pitt指向当前正在处理api地址,其前所有api均被处理完毕
//pitt每一轮增加4,当其等于混乱后IAT末址时,则该脚本运行结束
COMIENZO:
add pit,it
add pit2,it2
SEGUIMOS: //WE FOLLOWED 新的循环开始
add pit,x
add pit2,y
cmp pit,it1_end
log pit
log x
log y
je FIN
cmp pit,it1_end
ja FIN
gmi [pit], MODULEBASE //取该api对应的模块基址
log $RESULT
log dll1
cmp pit,pitt
jne NOPRIMERA
cmp $RESULT,base //该地址处api,是否已被处理过,若被处理过则其基址为主文件基址base
je PIRULO //处理过则跳转到下一轮
cmp $RESULT,dll1 //这两句好像没用,如果前1个dll已被处理过,这里根本不会跳转
je IGUALES
mov dll, $RESULT
log dll
jmp NOPRIMERA
NOPRIMERA: //not first
cmp $RESULT,dll
jne NOGUARDO
//该地址处api,是否已被处理过,若被处理过则其基址
//例如,处理后该005CA000处内容为005CADD0,取其对应模块基址为为主文件基址base
cmp $RESULT,base
je NOGUARDO //处理过则跳转到下一轮
mov [pit2], [pit] //将混乱后IAT保存api移入新地址,原地址存放指针指向新地址
mov [pit], pit2
mov x,4
mov y,4
jmp FINLOOP
NOGUARDO: //I do not keep
mov x,4
mov y,0
jmp FINLOOP
FINLOOP: //1轮小循环结束
log pit
log pit2
jmp SEGUIMOS
IGUALES: //EQUAL 没啥用?
mov x,4
mov y,0
jmp FINLOOP
FIN: //1个dll处理完毕
mov [pit2],0
mov dll1,dll
sto //防界面假死,刷新od界面
xor x,x
xor y,y
add pitt,4
cmp dll,base
je SALTO
add pit2,4
SALTO: //JUMP
mov pit,pitt
cmp pitt,it1_end
je FINISH
cmp pitt,it1_end
ja FINISH
log pit
log pit2
log pitt
jmp SEGUIMOS
FINISH: //所有dll都已被处理完毕
mov [eip],savecode //保存当前eip指向内容
MSG "TERMINAMOS"
log pitt
ret
PIRULO: //该地址api所在dll已被处理过,故跳过该地址,重新开始一轮
add pitt,4
jmp NOPRIMERA
3. 修复代码段调用
在Ricardo的教程中在OEP处插入了一段程序来,将排列好的IAT,再次还原到原先打乱的状态,不过这
样出来的程序在反编译时,不能自动识别出调用的函数,颇为不爽。
我们来想办法来解决这个问题。
我们在程序中随便找一个api调用,比如这个
004E8873 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
004E8876 FF15 E4AC5C00 CALL DWORD PTR DS:[5CACE4] ;
kernel32.GetVersion
004E8876 FF 15 64 B5 E9 00 ?d甸.3
设硬件写DWORD断点004E8878,来看看壳是什么时候在代码段写入的该api地址
重新运行程序,第1次断下时是代码段解压,在第二次断下时候
00DE553A 8B85 E4D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F1C]
00DE5540 40 INC EAX
00DE5541 8985 E4D0FFFF MOV DWORD PTR SS:[EBP-2F1C],EAX
00DE5547 8B85 E4D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F1C]
00DE554D 8B8D 30E8FFFF MOV ECX,DWORD PTR SS:[EBP-17D0] //保存call调用表首地址
00E9B628 在这里查看表格首地址
00DE5553 833C81 00 CMP DWORD PTR DS:[ECX+EAX*4],0 //取表中1项
00DE5557 0F84 90000000 JE 00DE55ED
00DE555D 8B85 E4D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F1C]
00DE5563 8B8D 30E8FFFF MOV ECX,DWORD PTR SS:[EBP-17D0]
00DE5569 8B95 18E7FFFF MOV EDX,DWORD PTR SS:[EBP-18E8]
00DE556F 031481 ADD EDX,DWORD PTR DS:[ECX+EAX*4]
00DE5572 8995 D4D0FFFF MOV DWORD PTR SS:[EBP-2F2C],EDX
00DE5578 8B85 D4D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F2C]
00DE557E 8B00 MOV EAX,DWORD PTR DS:[EAX]
00DE5580 8985 D0D0FFFF MOV DWORD PTR SS:[EBP-2F30],EAX
00DE5586 81BD D0D0FFFF 9>CMP DWORD PTR SS:[EBP-2F30],90909090
00DE5590 74 56 JE SHORT 00DE55E8
00DE5592 8B85 D0D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F30]
00DE5598 2B85 E0D0FFFF SUB EAX,DWORD PTR SS:[EBP-2F20]
00DE559E 8985 D0D0FFFF MOV DWORD PTR SS:[EBP-2F30],EAX
00DE55A4 FFB5 D0D0FFFF PUSH DWORD PTR SS:[EBP-2F30]
00DE55AA 8B85 E4D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F1C]
00DE55B0 33D2 XOR EDX,EDX
00DE55B2 6A 10 PUSH 10
00DE55B4 59 POP ECX
00DE55B5 F7F1 DIV ECX
00DE55B7 FF1495 48B7DE00 CALL DWORD PTR DS:[EDX*4+DEB748] //计算该api在IAT中的索引
00DE55BE 59 POP ECX
00DE55BF 8985 D0D0FFFF MOV DWORD PTR SS:[EBP-2F30],EAX
00DE55C5 8B85 D0D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F30]
00DE55CB 8B8D F0E6FFFF MOV ECX,DWORD PTR SS:[EBP-1910]
00DE55D1 8D0481 LEA EAX,DWORD PTR DS:[ECX+EAX*4] //得到该api在IAT中地址
00DE55D4 8985 D0D0FFFF MOV DWORD PTR SS:[EBP-2F30],EAX
00DE55DA 8B85 D4D0FFFF MOV EAX,DWORD PTR SS:[EBP-2F2C]
00DE55E0 8B8D D0D0FFFF MOV ECX,DWORD PTR SS:[EBP-2F30]
00DE55E6 8908 MOV DWORD PTR DS:[EAX],ECX //写入call [XXX] 的调用地
址
00DE55E8 ^ E9 4DFFFFFF JMP 00DE553A //断在这里
走到这里,看看[EBP-17D0]所指向的内存
00DE554D 8B8D 30E8FFFF MOV ECX,DWORD PTR SS:[EBP-17D0] //00E9B628 保存call调用表首
地址
00E9B628 4B 10 00 00 92 10 00 00 A7 10 00 00 B8 10 00 00 K..?..?..?..
00E9B638 EA 10 00 00 14 11 00 00 64 11 00 00 75 11 00 00 ?....d..u..
00E9B648 88 11 00 00 AB 11 00 00 0C 12 00 00 30 12 00 00 ?..?.....0..
00E9B658 B8 12 00 00 CB 12 00 00 E8 12 00 00 37 13 00 00 ?..?..?..7..
00E9B668 AC 13 00 00 B8 14 00 00 C0 14 00 00 D6 14 00 00 ?..?..?..?..
......
00EA2B88 9B 77 1B 00 A8 77 1B 00 06 78 1B 00 79 78 1B 00 ?.?.x.yx.
00EA2B98 EB 78 1B 00 E0 79 1B 00 20 7A 1B 00 7F 7A 1B 00 滕.帙. z.z.
00EA2BA8 00 00 00 00 ....
^_^,call调用所在地址表,这正是我们需要的,call所在的RAV地址,这样就可以用这张表来修复
call[XXX]的地址值了,使之直接指向我们的整理后的IAT,不需要原先的IAT做跳板。
拷贝该表格到WinHex中,待会好再粘贴回来,运行脚本
现在再次来到运行前面的脚本到达OEP之处,
然后运行Ricardo的脚本,整理打乱的IAT,然后随便找个空地将刚才得到的call调用地址表binary
paste,
比如我粘贴到00E92000开始的内存里
然后再运行一个小脚本
//脚本3,修改代码段call [XXX],到整理后的IAT
var pCallTable //存放call调用所在之处的RVA地址表
var calladdr
var base
var iataddr
var goodiat
//设置Call RVA 地址表所在位置
mov pCallTable ,0E92000
//获取当前模块基地址
gmi eip, MODULEBASE
log $RESULT
mov base, $RESULT
NEXT:
mov calladdr, [pCallTable]
cmp calladdr, 0
je FIN
add calladdr, base //RVA+base=VA
mov iataddr, [calladdr] //得到原始IAT表中地址(间接指针,指向整理后得IAT中的地址)
log calladdr
mov goodiat, [iataddr] //得到整理后得IAT中该api地址
mov [calladdr], goodiat //修改原始代码中call XXXX中XXXX的地址,指向整理后的IAT
add pCallTable,4
JMP NEXT
FIN:
MSG "Success!"
ret
OK,再看看刚才的那个api调用已经直接指向那个整理后的IAT中了
004E8873 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
004E8876 FF15 68B05C00 CALL DWORD PTR DS:[5CB068] ;
kernel32.GetVersion
4. dump&fix
现在用LordPE dump下来,然后用ImportRec修复,填入OEP,RVA及RVASIZE
OEP=00E8850 IATRVA=1CADD0 大小0D90,将Invalid的全部cut。
修复以后运行一下看看,ok了,累 :)
感谢Ricardo,Eggi的教程。已上传至
http://bbs.pediy.com/showthread.php?s=&threadid=5962
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开
发者可享99元/年,续费同价!