ESP定律，一分钟搞定ShellProtect壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ESP定律，一分钟搞定ShellProtect壳

发表于: 2004-11-11 20:53 11621

ESP定律，一分钟搞定ShellProtect壳

clide2000

2004-11-11 20:53

11621

【破解作者】 clide2000
【使用工具】 OD,LordPE,ImportREC16
【破解平台】 Win9x/NT/2000/XP
【软件名称】 unpackit.exe
【软件简介】专门练习脱ShellProtect壳的目标文件
【加壳方式】 ShellProtect
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

OD载入后停在,设置忽略所有的异常.F8单步执行,当执行到00405002一行处时,观察当前堆栈
00405000 >  90             nop
00405001 60             pushad
00405002 68 0E204000    push Unpackit.0040200E  ;执行完这句后,看看堆栈
00405007 E8 23010000    call Unpackit.0040512F
0040500C FFE0             jmp eax
0040500E 81EC 00010000    sub esp, 100
00405014 8BEC             mov ebp, esp
00405016 EB 01          jmp short Unpackit.00405019
00405018 E8 8B9D2001    call 0160EDA8
0040501D 0000             add byte ptr ds:[eax], al
0040501F 4B             dec ebx
00405020 EB 01          jmp short Unpackit.00405023
00405022 E8 53E83103    call 0372387A
00405027 0000             add byte ptr ds:[eax], al

行到00405002一行处时时堆栈内容如下:
0012FFA4 FFFFFFFF
0012FFA8 77F5166A  RETURN to ntdll.77F5166A from ntdll.77F78C4E
0012FFAC 0012FFF0
0012FFB0 0012FFC4 ;看这里,可以用Esp定律了
0012FFB4 7FFDF000
0012FFB8 7FFE0304
0012FFBC 0012FFB0
0012FFC0 00000000

在命令行下hr 12ffb0硬件断点,F9运行
中断在
0040511F /EB 01          jmp short Unpackit.00405122  ;中断在此,F8后,来到00405122
00405121 |E8 E97F0300    call 0043D10F
00405126 006A 00          add byte ptr ds:[edx], ch
00405129 FF95 A7000000    call dword ptr ss:[ebp+A7]
0040512F EB 01          jmp short Unpackit.00405132
00405131 E8 C8000000    call Unpackit.004051FE
00405136 E8 00000000    call Unpackit.0040513B
0040513B 58             pop eax
0040513C 2D 3B214000    sub eax, Unpackit.0040213B
00405141 EB 01          jmp short Unpackit.00405144
00405143 E8 034508C9    call C948964B
00405148 C2 0400          retn 4
***************************************************************************************
从0040511F跳到这里
00405122 /E9 7F030000    jmp Unpackit.004054A6  ;断续按一下F8,跳到004054A6
00405127 |6A 00          push 0
00405129 |FF95 A7000000    call dword ptr ss:[ebp+A7]
0040512F |EB 01          jmp short Unpackit.00405132
00405131 |E8 C8000000    call Unpackit.004051FE
00405136 |E8 00000000    call Unpackit.0040513B
0040513B |58             pop eax
0040513C |2D 3B214000    sub eax, Unpackit.0040213B
00405141 |EB 01          jmp short Unpackit.00405144
00405143 |E8 034508C9    call C948964B
00405148 |C2 0400          retn 4

从00405122又跳到了这
004054A6 68 E0164000    push Unpackit.004016E0    ;将OEP压入堆栈
004054AB C3             retn                      ;跳到OEP

最终来到OEP处:
004016E0  /.  55             push ebp
004016E1  |.  8BEC          mov ebp, esp
004016E3  |.  6A FF          push -1
004016E5  |.  68 F8244000    push Unpackit.004024F8
004016EA  |.  68 66184000    push <jmp.&MSVCRT._except_handler3>;  SE handler installation
004016EF  |.  64:A1 00000000  mov eax, dword ptr fs:[0]
004016F5  |.  50             push eax
004016F6  |.  64:8925 0000000>mov dword ptr fs:[0], esp
004016FD  |.  83EC 68       sub esp, 68
00401700  |.  53             push ebx
00401701  |.  56             push esi
00401702  |.  57             push edi
00401703  |.  8965 E8       mov dword ptr ss:[ebp-18], esp
00401706  |.  33DB          xor ebx, ebx
00401708  |.  895D FC       mov dword ptr ss:[ebp-4], ebx
0040170B  |.  6A 02          push 2
0040170D  |.  FF15 90214000 call dword ptr ds:[<&MSVCRT.__set_>;  MSVCRT.__set_app_type
00401713  |.  59             pop ecx

此时用LorPE在004016E0此OEP处dump出程序.然后用ImportREC16加载当前这个进程,OEP输入16e0,点"IAT AutoSearch"按钮,会找到全部API调用,最后修复dump出和程序.成功运行
--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
练习文件下载
附件:test.rar 附件:test.rar

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・7

支持

最新回复 (16)
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2 楼有没有他的加壳程序啊？ 2004-11-11 21:27 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 3 楼忘了，先说一声~~顶支持~:D 2004-11-11 21:28 0
china 雪币： 3685 活跃值： (4237) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 4 楼载入，Ctrl+F查找POPAD，F2设置断点，F9运行，后被拦截，F8几次，到4016E0，脱壳，修复之。 2004-11-11 21:41 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼最初由 meila2004 发布有没有他的加壳程序啊？软件就是　海雨天风　兄发的“一个新壳，附主程序和源代码”贴 http://bbs.pediy.com/showthread.php?s=&threadid=6845 2004-11-12 10:43 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 6 楼另，忘记说了，OD应该启用一下隐藏插件（因为我一直用自动隐藏的插件，所以忘记说了） 2004-11-12 10:44 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 7 楼 i just put a breakpoint on code section then f9....it bring me to the oep..... 2004-11-12 10:53 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 8 楼最初由 stephenteh 发布 i just put a breakpoint on code section then f9....it bring me to the oep..... 试了一下,果然如此,若用这种方法,该叫做秒杀了.:p 2004-11-12 12:44 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 9 楼 "OD载入后停在,设置忽略所有的异常.F8单步执行,当执行到00405002一行处时,观察当前堆栈 00405000 > 90 nop 00405001 60 pushad 00405002 68 0E204000 push Unpackit.0040200E ;执行完这句后,看看堆栈" 我的怎么是这个： 0063FE1C 00000000 0063FE20 81867068 0063FE24 0063FF78 0063FE28 0063FE3C 《-这个是ESP最开始的值 0063FE2C 00530000 0063FE30 818670C8 0063FE34 81867088 0063FE38 00405000 UNPACKIT.<ModuleEntryPoint> 0063FE3C BFF8B86C 返回到 KERNEL32.BFF8B86C 来自 KERNEL32.BFF74399 0063FE40 00000000 0063FE44 81867068 0063FE48 00530000 0063FE4C 61706E55 0063FE50 74696B63 0063FE54 45584500 0063FE58 0063FE00 0063FE5C 0063FE68 0063FE60 00000003 0063FE64 00000006 0063FE68 80000003 0063FE6C 00000000 0063FE70 00000000 0063FE74 BFF76920 KERNEL32.DebugBreak 0063FE78 00000001 0063FE7C 00000000 0063FE80 00000004 2004-11-12 12:56 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 10 楼最初由看不懂发布 "OD载入后停在,设置忽略所有的异常.F8单步执行,当执行到00405002一行处时,观察当前堆栈 00405000 > 90 nop 00405001 60 pushad 00405002 68 0E204000 push Unpackit.0040200E ;执行完这句后,看看堆栈" 我的怎么是这个： ........ 这个应该不是当时的堆栈内容吧 2004-11-12 14:13 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 11 楼哪里有这个壳下载。 2004-11-12 15:13 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 12 楼最初由 clide2000 发布这个应该不是当时的堆栈内容吧下方的的确是当时的内容 2004-11-12 18:29 0
mytech 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	mytech 13 楼可以用Esp定律了 2004-11-12 23:06 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 14 楼老兄速度好迅速哦！:p 2004-11-13 09:25 0
stasi 雪币： 298 活跃值： (512) 能力值： ( LV12，RANK：490 ) 在线值：发帖 21 回帖 127 粉丝 2 关注私信	stasi 12 15 楼晕是aspack的翻版？ 2004-11-13 10:50 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 16 楼支持!!! 2004-11-13 12:04 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 17 楼运行前运行到00405002后 2004-11-14 13:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

clide2000

发帖

1209

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2 楼有没有他的加壳程序啊？ 2004-11-11 21:27 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 3 楼忘了，先说一声~~顶支持~:D 2004-11-11 21:28 0
china 雪币： 3685 活跃值： (4237) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 4 楼载入，Ctrl+F查找POPAD，F2设置断点，F9运行，后被拦截，F8几次，到4016E0，脱壳，修复之。 2004-11-11 21:41 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼最初由 meila2004 发布有没有他的加壳程序啊？软件就是　海雨天风　兄发的“一个新壳，附主程序和源代码”贴 http://bbs.pediy.com/showthread.php?s=&threadid=6845 2004-11-12 10:43 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 6 楼另，忘记说了，OD应该启用一下隐藏插件（因为我一直用自动隐藏的插件，所以忘记说了） 2004-11-12 10:44 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 7 楼 i just put a breakpoint on code section then f9....it bring me to the oep..... 2004-11-12 10:53 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 8 楼最初由 stephenteh 发布 i just put a breakpoint on code section then f9....it bring me to the oep..... 试了一下,果然如此,若用这种方法,该叫做秒杀了.:p 2004-11-12 12:44 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 9 楼 "OD载入后停在,设置忽略所有的异常.F8单步执行,当执行到00405002一行处时,观察当前堆栈 00405000 > 90 nop 00405001 60 pushad 00405002 68 0E204000 push Unpackit.0040200E ;执行完这句后,看看堆栈" 我的怎么是这个： 0063FE1C 00000000 0063FE20 81867068 0063FE24 0063FF78 0063FE28 0063FE3C 《-这个是ESP最开始的值 0063FE2C 00530000 0063FE30 818670C8 0063FE34 81867088 0063FE38 00405000 UNPACKIT.<ModuleEntryPoint> 0063FE3C BFF8B86C 返回到 KERNEL32.BFF8B86C 来自 KERNEL32.BFF74399 0063FE40 00000000 0063FE44 81867068 0063FE48 00530000 0063FE4C 61706E55 0063FE50 74696B63 0063FE54 45584500 0063FE58 0063FE00 0063FE5C 0063FE68 0063FE60 00000003 0063FE64 00000006 0063FE68 80000003 0063FE6C 00000000 0063FE70 00000000 0063FE74 BFF76920 KERNEL32.DebugBreak 0063FE78 00000001 0063FE7C 00000000 0063FE80 00000004 2004-11-12 12:56 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 10 楼最初由看不懂发布 "OD载入后停在,设置忽略所有的异常.F8单步执行,当执行到00405002一行处时,观察当前堆栈 00405000 > 90 nop 00405001 60 pushad 00405002 68 0E204000 push Unpackit.0040200E ;执行完这句后,看看堆栈" 我的怎么是这个： ........ 这个应该不是当时的堆栈内容吧 2004-11-12 14:13 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 11 楼哪里有这个壳下载。 2004-11-12 15:13 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 12 楼最初由 clide2000 发布这个应该不是当时的堆栈内容吧下方的的确是当时的内容 2004-11-12 18:29 0
mytech 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	mytech 13 楼可以用Esp定律了 2004-11-12 23:06 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 14 楼老兄速度好迅速哦！:p 2004-11-13 09:25 0
stasi 雪币： 298 活跃值： (512) 能力值： ( LV12，RANK：490 ) 在线值：发帖 21 回帖 127 粉丝 2 关注私信	stasi 12 15 楼晕是aspack的翻版？ 2004-11-13 10:50 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 16 楼支持!!! 2004-11-13 12:04 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 17 楼运行前运行到00405002后 2004-11-14 13:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复