EasyBoot5.03脱壳＋暴破-软件逆向-看雪-安全社区|安全招聘|kanxue.com

EasyBoot5.03脱壳＋暴破

发表于: 2004-11-17 09:35 9020

EasyBoot5.03脱壳＋暴破

lelfei

2004-11-17 09:35

9020

【破解作者】 lelfei
【作者邮箱】 lelfei#sina.com
【使用工具】 Peid0.92,FI3.01,OllyDBG1.10,LordPE,UltraEdit,...
【破解平台】 Win2000
【软件名称】 EasyBoot 5.0.3.426 , 2004年9月22日
【下载地址】 http://cn.ezbsystems.com
【软件简介】 EasyBoot是一款集成化的中文光盘启动菜单制作工具，它可以制作光盘启动菜单、自动生成启动文件、并生成可启动ISO文件。只要通过CD-R/W刻录软件即可制作完全属于自己的启动光盘。
【软件大小】 2.40M
【加壳方式】未知
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

一、脱壳：

观察：

用Peid和FI侦察，发现壳为“ASPack 2.12 -> Alexey Solodovnikov”，但实际并非如此。

下手：

用Fly修改的OllyDBG1.10载入程序，停在入口处：

005AB001 E>pushad                      <--程序入口点
005AB002   call EasyBoot.005AB00A
005AB007   jmp 45B7B4F7

005AB3A9   mov dword ptr ss:[ebp+3A8],eax
005AB3AF   popad                             ;<--F4来到这里
005AB3B0   jnz short EasyBoot.005AB3BA
005AB3B2   mov eax,1
005AB3B7   retn 0C
005AB3BA   push EasyBoot.00401428            ;可以看见伪OEP了
005AB3BF   retn                              ;返回到 00401428 (EasyBoot.00401428)

00401428   jmp short EasyBoot.0040143A            ;<--伪OEP入口
0040142A   db 66                                  ;  CHAR 'f'
0040142B   db 62                                  ;  CHAR 'b'
0040142C   db 3A                                  ;  CHAR ':'
0040142D   db 43                                  ;  CHAR 'C'
0040142E   db 2B                                  ;  CHAR '+'
0040142F   db 2B                                  ;  CHAR '+'
00401430   db 48                                  ;  CHAR 'H'
00401431   db 4F                                  ;  CHAR 'O'
00401432   db 4F                                  ;  CHAR 'O'
00401433   db 4B                                  ;  CHAR 'K'
00401434   nop
00401435   db E9
00401436   dd offset EasyBoot.___CPPdebugHook
0040143A   mov eax,dword ptr ds:[50708B]
0040143F   shl eax,2

发现伪OEP处的代码并不像我们常见的程序入口点代码，继续往下跟：

0040143A   mov eax,dword ptr ds:[50708B]
0040143F   shl eax,2
00401442   mov dword ptr ds:[50708F],eax
00401447   push edx
00401448   push 0                               ; /pModule = NULL
0040144A   call EasyBoot.00506066               ; \GetModuleHandleA
0040144F   mov edx,eax
00401451   call EasyBoot.004E303C
00401456   pop edx
00401457   call EasyBoot.004E2FA0
0040145C   call EasyBoot.004E307C
00401461   push 0                               ; /Arg1 = 00000000
00401463   call EasyBoot.004E4690               ; \EasyBoot.004E4690
00401468   pop ecx
00401469   push EasyBoot.00507034
0040146E   push 0                               ; /pModule = NULL
00401470   call EasyBoot.00506066               ; \GetModuleHandleA
00401475   mov dword ptr ds:[507093],eax
0040147A   push 0
0040147C   jmp EasyBoot.004EE16C                ;<--这里跳向真正的OEP
00401481 E>jmp EasyBoot.004E46DC

004EE16C   push ebp                    ;<--真实的OEP，观察这里的代码
004EE16D   mov ebp,esp
004EE16F   add esp,-0C
004EE172   push ebx
004EE173   push esi
004EE174   push edi
004EE175   mov esi,dword ptr ss:[ebp+8]
004EE178   mov eax,dword ptr ds:[esi+10]
004EE17B   and eax,1
004EE17E   mov dword ptr ds:[51F1A0],eax
004EE183   call EasyBoot.004EADB4

00506FF0 1>mov dword ptr ss:[esp+4],fix_dump.00507034   ;<--恢复堆栈数据
00506FF8   jmp fix_dump.004EE16C                        ;<--跳到真正的OEP

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

免费・7

支持

最新回复 (15)
duhe 雪币： 1775 活跃值： (1856) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 67 粉丝 1 关注私信	duhe 2 楼 ok 2004-11-17 10:03 0
臭启雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	臭启 3 楼虽然我是采鸟，刚刚来到，看的不太明白，但是强烈的顶一下。 2004-11-17 20:16 0
wdx 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	wdx 4 楼好，详细 2004-11-17 21:00 0
ngaut 雪币： 267 活跃值： (235) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 92 粉丝 1 关注私信	ngaut 6 5 楼精彩啊！！！！真是精彩！ 2004-11-17 23:00 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 6 楼支持!!! 2004-11-17 23:22 0
mhsong 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 143 粉丝 1 关注私信	mhsong 7 楼楼主的文章和签名都很精彩，赞~~ 2004-11-21 15:31 0
illiperson 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 1 关注私信	illiperson 8 楼程序在 00401428 jmp short EasyBoot.0040143A ;<--伪OEP入口处修复也可以正常运行，不知有什么问题? 2004-11-21 22:04 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 9 楼修正一个错误By 二哥 weiyi75 壳确实是Aspack2.12 程序是BC++ Esp定律或懒人用Aspack2.12脚本轻松到达,平时注意多修炼五种语言入口特征码 00401428 /EB 10 jmp short EasyBoot.0040143A ; OEP To Get,Please dumped it,Enjoy! 0040142A \|66:623A bound di,dword ptr ds:[edx] 0040142D \|43 inc ebx 0040142E \|2B2B sub ebp,dword ptr ds:[ebx] 00401430 \|48 dec eax 00401431 \|4F dec edi 00401432 \|4F dec edi 00401433 \|4B dec ebx 00401434 \|90 nop 00401435 -\|E9 98705000 jmp 009084D2 0040143A \A1 8B705000 mov eax,dword ptr ds:[50708B] 0040143F C1E0 02 shl eax,2 00401442 A3 8F705000 mov dword ptr ds:[50708F],eax 00401447 52 push edx 00401448 6A 00 push 0 0040144A E8 174C1000 call EasyBoot.00506066 ; jmp to kernel32.GetModuleHandleA ...................................................................................... 运行ImportREC1.6，选择当前的进程“EasyBoot.exe”，填入OEP：00001428，获取输入表,Rva 0014E2E8,Size 000001F0 这个值太小了，而且中间有垃圾指针，导致IR识别错误，可以OD dd 0054E2E8 往下看，也可以大面积剪刀法，填入Size 1000 获取IAT 然后显示无效指针，全部剪掉，修复脱壳程序，运行正常。爆破过程不错，学习。 2004-11-23 10:52 0
txia 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	txia 10 楼我就不行了哟，只知道用脱壳工具脱哟。 2004-11-23 22:25 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 11 楼楼主的破解好象是错误的吧？patch的是对白名单的一处校验而不是sn校验。。。而且这个软件的“非裸体”版本有N多这样的校验的（即暗桩）:D 2004-11-24 12:29 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 12 楼好长时间没上网了，今天翻出来又让我长了见识。。。。 to 二哥 weiyi75：感谢你指出错误！！五种程序入口点我就知道二种，汗～～最近遇到好几个这类输入表错误的问题，我还认为是不是出一种新壳了。。。。你说的大面积剪刀法是不是与我所用的搜索所有的CALL [XXXX]方法类似？这类IAT问题是不是都可以用你说的方法解决？ to blowfish ：不知你说的是什么情况下遇到的？脱壳后只能找到那四处。并且在我的电脑上运行没有遇到过问题。如果需要我可以把我爆后的版本发可以你，帮我检测一下 to illiperson ：修复OEP并不一定要在真正的OEP处，只要能恢复内在中的数据和堆栈，OEP在哪里并不重要这是我的理解，如有错误请指出 2004-11-28 15:22 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 13 楼在IDA里面找一下引用到下面两处标志的所有地方，检查一下看看 00401AFD mov dword ptr ds:[5145C0],5000 ;置注册标志位2 00401B07 mov dword ptr ds:[50B5F4],5500 ;置注册标志位3 2004-11-28 16:16 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 14 楼今天又来上网了。。。。请教blowfish ：你说的引用是否包含那些检查注册标志位的地方？那样子就会很多了，特别是注册标志位1和2的引用。另附程序检查注册码的步骤： 1.启动时检查注册表，如Username存在则执行注册判断过程，注册码正确时置注册标志位1、2、3。 2.运行限制功能时先检查注册标志位1，如注册则取Username及SN，重复步骤1。 3.程序还有一处地方，先检查注册标志位1和2，如正确则置注册标志位3，之后还会检查注册标志位3，如符合则重复步骤1。（仅凭记忆，没有对照源程序，大概是这样）其中第3点是我将置标志位的两句分开搜索时发现的。以上是小弟的见解，还请多多指教！！ 2004-12-4 09:15 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 15 楼学习中:) :) 2004-12-4 13:23 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 16 楼我不太懂，只能看懂思路。五种语言入口特征码请详解 2004-12-4 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lelfei

发帖

537

回帖

1473

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
duhe 雪币： 1775 活跃值： (1856) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 67 粉丝 1 关注私信	duhe 2 楼 ok 2004-11-17 10:03 0
臭启雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	臭启 3 楼虽然我是采鸟，刚刚来到，看的不太明白，但是强烈的顶一下。 2004-11-17 20:16 0
wdx 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	wdx 4 楼好，详细 2004-11-17 21:00 0
ngaut 雪币： 267 活跃值： (235) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 92 粉丝 1 关注私信	ngaut 6 5 楼精彩啊！！！！真是精彩！ 2004-11-17 23:00 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 6 楼支持!!! 2004-11-17 23:22 0
mhsong 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 143 粉丝 1 关注私信	mhsong 7 楼楼主的文章和签名都很精彩，赞~~ 2004-11-21 15:31 0
illiperson 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 1 关注私信	illiperson 8 楼程序在 00401428 jmp short EasyBoot.0040143A ;<--伪OEP入口处修复也可以正常运行，不知有什么问题? 2004-11-21 22:04 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 9 楼修正一个错误By 二哥 weiyi75 壳确实是Aspack2.12 程序是BC++ Esp定律或懒人用Aspack2.12脚本轻松到达,平时注意多修炼五种语言入口特征码 00401428 /EB 10 jmp short EasyBoot.0040143A ; OEP To Get,Please dumped it,Enjoy! 0040142A \|66:623A bound di,dword ptr ds:[edx] 0040142D \|43 inc ebx 0040142E \|2B2B sub ebp,dword ptr ds:[ebx] 00401430 \|48 dec eax 00401431 \|4F dec edi 00401432 \|4F dec edi 00401433 \|4B dec ebx 00401434 \|90 nop 00401435 -\|E9 98705000 jmp 009084D2 0040143A \A1 8B705000 mov eax,dword ptr ds:[50708B] 0040143F C1E0 02 shl eax,2 00401442 A3 8F705000 mov dword ptr ds:[50708F],eax 00401447 52 push edx 00401448 6A 00 push 0 0040144A E8 174C1000 call EasyBoot.00506066 ; jmp to kernel32.GetModuleHandleA ...................................................................................... 运行ImportREC1.6，选择当前的进程“EasyBoot.exe”，填入OEP：00001428，获取输入表,Rva 0014E2E8,Size 000001F0 这个值太小了，而且中间有垃圾指针，导致IR识别错误，可以OD dd 0054E2E8 往下看，也可以大面积剪刀法，填入Size 1000 获取IAT 然后显示无效指针，全部剪掉，修复脱壳程序，运行正常。爆破过程不错，学习。 2004-11-23 10:52 0
txia 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	txia 10 楼我就不行了哟，只知道用脱壳工具脱哟。 2004-11-23 22:25 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 11 楼楼主的破解好象是错误的吧？patch的是对白名单的一处校验而不是sn校验。。。而且这个软件的“非裸体”版本有N多这样的校验的（即暗桩）:D 2004-11-24 12:29 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 12 楼好长时间没上网了，今天翻出来又让我长了见识。。。。 to 二哥 weiyi75：感谢你指出错误！！五种程序入口点我就知道二种，汗～～最近遇到好几个这类输入表错误的问题，我还认为是不是出一种新壳了。。。。你说的大面积剪刀法是不是与我所用的搜索所有的CALL [XXXX]方法类似？这类IAT问题是不是都可以用你说的方法解决？ to blowfish ：不知你说的是什么情况下遇到的？脱壳后只能找到那四处。并且在我的电脑上运行没有遇到过问题。如果需要我可以把我爆后的版本发可以你，帮我检测一下 to illiperson ：修复OEP并不一定要在真正的OEP处，只要能恢复内在中的数据和堆栈，OEP在哪里并不重要这是我的理解，如有错误请指出 2004-11-28 15:22 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 13 楼在IDA里面找一下引用到下面两处标志的所有地方，检查一下看看 00401AFD mov dword ptr ds:[5145C0],5000 ;置注册标志位2 00401B07 mov dword ptr ds:[50B5F4],5500 ;置注册标志位3 2004-11-28 16:16 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 14 楼今天又来上网了。。。。请教blowfish ：你说的引用是否包含那些检查注册标志位的地方？那样子就会很多了，特别是注册标志位1和2的引用。另附程序检查注册码的步骤： 1.启动时检查注册表，如Username存在则执行注册判断过程，注册码正确时置注册标志位1、2、3。 2.运行限制功能时先检查注册标志位1，如注册则取Username及SN，重复步骤1。 3.程序还有一处地方，先检查注册标志位1和2，如正确则置注册标志位3，之后还会检查注册标志位3，如符合则重复步骤1。（仅凭记忆，没有对照源程序，大概是这样）其中第3点是我将置标志位的两句分开搜索时发现的。以上是小弟的见解，还请多多指教！！ 2004-12-4 09:15 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 15 楼学习中:) :) 2004-12-4 13:23 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 16 楼我不太懂，只能看懂思路。五种语言入口特征码请详解 2004-12-4 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复