yoda's Crypter+upx秒脱方案-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

yoda's Crypter+upx秒脱方案

发表于: 2004-12-25 20:51 6841

yoda's Crypter+upx秒脱方案

stasi

2004-12-25 20:51

6841

【破解作者】 stasi[DCM][BCG][DFCG][FCG][OCN][CZG][D.4s]
【作者邮箱】 [email]stasi@163.com[/email]
【作者主页】 stasi.7169.com
【使用工具】 LordPE ollydbg peid
【破解平台】 Win9x/NT/2000/XP
【软件名称】 GetVodPass
【下载地址】 http://www.d999.net
【软件简介】这个东西就是传说中的金梅电影帐号强暴器了:)应该没有公开发布过吧
         ==================================================
            金梅电影帐号强暴器 - 收费电影免费看！
         ==================================================
         金梅三找回密码漏洞，应该大家听过了！
         这个程序就是利用这个漏洞,找出全部的"黄金会员"或"为钻石会员"帐号!
         (是全部可用的帐号哦,还真的有点可怕,请各电影网的站长注意修补漏洞了)！
【软件大小】 200k
【加壳方式】 yoda's Crypter+upx双重壳
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

peid 0.92 查出是*PESHiELD 0.25 -> ANAKiN* ,又发现ep区段是.yygw ,动过手脚了,又看见了upx0 和
upx1估计最里面是upx加的多重壳。

ollydbg加载

*PESHiELD 0.25 -> ANAKiN*的东西好久没动过了，印象中不是很难的东西,所以忽略所有异常
00489082 G>  60             pushad
00489083    E8 00000000    call GetVodPa.00489088
00489088    5D             pop ebp
00489089    81ED B6A44500    sub ebp,GetVodPa.0045A4B6
0048908F    8DBD B0A44500    lea edi,dword ptr ss:[ebp+45A4B0]
00489095    81EF 82000000    sub edi,82
0048909B    89BD 18A84500    mov dword ptr ss:[ebp+45A818],edi
004890A1    8B4F 18          mov ecx,dword ptr ds:[edi+18]
004890A4    89FE             mov esi,edi
004890A6    0377 14          add esi,dword ptr ds:[edi+14]
004890A9    8B47 10          mov eax,dword ptr ds:[edi+10]
004890AC    E8 2A060000    call GetVodPa.004896DB

寄存器：
0012FFA4 0012BE84
0012FFA8 00000000
0012FFAC 0012FFF0
0012FFB0 0012FFC4
0012FFB4 7FFDF000
0012FFB8 FFFFFFFF
0012FFBC 00010101
0012FFC0 00000000

既然是多重壳，就是走捷径！直接　hr 12FFc0

00489373    61             popad
00489374    FFE0             jmp eax                   jmp 第二层
00489376    42             inc edx
00489377    4B             dec ebx
00489378    2E:44          inc esp
0048937A    41             inc ecx
0048937B    54             push esp
0048937C    0052 65          add byte ptr ds:[edx+65],dl
0048937F    73 74          jnb short GetVodPa.004893F5

004860B0    60             pushad　　　　　　　　　　　　　　第二层壳，是熟悉的upx入口
004860B1    BE 00704500    mov esi,GetVodPa.00457000
004860B6    8DBE 00A0FAFF    lea edi,dword ptr ds:[esi+FFFAA000]
004860BC    C787 9CC00600 F56>mov dword ptr ds:[edi+6C09C],18006AF5
004860C6    57             push edi
004860C7    83CD FF          or ebp,FFFFFFFF
004860CA    EB 0E          jmp short GetVodPa.004860DA
004860CC    90             nop

bp GetProcAddress

0048620B /74 07          je short GetVodPa.00486214
0048620D |8903             mov dword ptr ds:[ebx],eax
0048620F |83C3 04          add ebx,4
00486212 ^|EB E1          jmp short GetVodPa.004861F5
00486214 \FF96 28780800    call dword ptr ds:[esi+87828]
0048621A    61             popad
0048621B ^ E9 0C5EFEFF    jmp GetVodPa.0046C02C                jmp oep
00486220    3862 48          cmp byte ptr ds:[edx+48],ah
00486223    0048 62          add byte ptr ds:[eax+62],cl

0046C02C    55             push ebp                            dump下来
0046C02D    8BEC             mov ebp,esp
0046C02F    83C4 F0          add esp,-10
0046C032    B8 C4BD4600    mov eax,GetVodPa.0046BDC4
0046C037    E8 849CF9FF    call GetVodPa.00405CC0
0046C03C    A1 88E14600    mov eax,dword ptr ds:[46E188]
0046C041    8B00             mov eax,dword ptr ds:[eax]
0046C043    E8 F089FEFF    call GetVodPa.00454A38
0046C048    A1 88E14600    mov eax,dword ptr ds:[46E188]

运行没问题，但还没有达到要求

lordpe 修改区段名　upx0->1234 upx1->5678 明白了吧？我动手也就是满足朋友的虚荣心罢了：）
--------------------------------------------------------------------------------
【破解总结】

脱壳不是问题，但也发现了其他两个相关问题
１）就是估计是peid０.９２的误报问题，最后我回查的时候发现这并不是*PESHiELD 0.25 -> ANAKiN*＋upx，
而是yoda's Crypter+upx双重壳，因为PESHiELD的seh的处理较多，而yoda's Crypter保护一般用createFilea的吧

分别找到加壳工具，notepad．exe 上看入口的特征代码：

PESHiELD 0.25 -> ANAKiN*
0040D000 N>  60             pushad
0040D001    E8 2B000000    call NOTEPAD.0040D031
0040D006    0D 0A0D0A0D    or eax,0D0A0D0A
0040D00B    0A52 65          or dl,byte ptr ds:[edx+65]
0040D00E    67:6973 74 657265>imul esi,dword ptr ss:[bp+di+74],6465>
0040D016    20746F 3A       and byte ptr ds:[edi+ebp*2+3A],dh

yoda's Crypter 1.2
0040D060 N>  60             pushad
0040D061    E8 00000000    call NOTEPAD.0040D066
0040D066    5D             pop ebp
0040D067    81ED F31D4000    sub ebp,NOTEPAD.00401DF3
0040D06D    B9 7B090000    mov ecx,97B
0040D072    8DBD 3B1E4000    lea edi,dword ptr ss:[ebp+401E3B]

最后我查了peid的external signatures：
;The ?? in the signature represent wilcard bytes (they are skipped while scanning)
;ep_only can be either true or false. When true, the signature is scanned for at the EntryPoint only.
;Else it is scanned throughout the file.

;A '*' in the results of PEiD signifies that the external database was used for scanning the file.

看完，大概知道了原因了，peid 的＂？？＂的模糊查询的方式有可能有不准确的时候，＊表示＂疑似壳例＂：）

２）问题是多重壳的问题，yoda's Crypter+upx双重壳就是以前老王的vfp&exe2.0的加壳方式，但不说明多重壳一定
就比单层的保护作用大，很多bt多重壳的失败就是最里面的弱壳保护问题，里面的弱壳反而就限制了外层壳的anti处理能力．

--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!附件：GetVodPass.rar 附件：GetVodPass.rar

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・1

支持

最新回复 (10)
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2 楼真是及时雨啊，小弟前不久也碰到过PESHiELD 0.25 -> ANAKiN，没有解决啊，有 stasi 的脱文真是解决了一个难题:D :D 2004-12-25 20:59 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 3 楼只有新版的PEID才这样，为的就是防止改一个字节就防PEID的情况，有好几个壳都报PESHiELD 0.25 -> ANAKiN，小失败啊。:D 2004-12-25 20:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼看过几个程序PEiD显示PESHiELD 0.25 -> ANAKiN 皆为误报凡是外挂之类程序的加壳，基本不用考虑是PESHiELD 2004-12-25 21:05 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 5 楼 .yygw？怎么象是应用程序病毒免疫器呢？ 2004-12-25 21:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼 :D :D :D 2004-12-25 21:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 firstrose 发布 .yygw？怎么象是应用程序病毒免疫器呢？看样子是病毒免疫器扫描类型：实时防护扫描病毒名称: Hacktool 采用的操作：隔离成功 : 拒绝访问看不了了 2004-12-25 21:32 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 8 楼确实是应用程序病毒免疫器,自己却仿病毒,骗过了peid,也骗过了算法好手stasi 2004-12-25 22:18 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 9 楼既然是多重壳，就是走捷径！直接　hr 12FFc0 ........ [/QUOTE] 楼主：是不是所有的多重壳都可以走捷径！直接　hr 12FFc0？ 2004-12-25 23:27 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 10 楼巧合,某些用seh请断点的是没效果的,如acprotect,TElock 2004-12-26 00:10 0
stasi 雪币： 298 活跃值： (512) 能力值： ( LV12，RANK：490 ) 在线值：发帖 21 回帖 127 粉丝 2 关注私信	stasi 12 11 楼最初由 ljy3282393 发布既然是多重壳，就是走捷径！直接　hr 12FFc0 ........ 楼主：是不是所有的多重壳都可以走捷径！直接　hr 12FFc0？ [/QUOTE] 不是的，当然我先前自己走过的，发现比较一般的东西，处理办法是很多的，最后写了最简单的办法，要不就不能叫秒脱了：） 2004-12-26 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

stasi

发帖

127

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2 楼真是及时雨啊，小弟前不久也碰到过PESHiELD 0.25 -> ANAKiN，没有解决啊，有 stasi 的脱文真是解决了一个难题:D :D 2004-12-25 20:59 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 3 楼只有新版的PEID才这样，为的就是防止改一个字节就防PEID的情况，有好几个壳都报PESHiELD 0.25 -> ANAKiN，小失败啊。:D 2004-12-25 20:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼看过几个程序PEiD显示PESHiELD 0.25 -> ANAKiN 皆为误报凡是外挂之类程序的加壳，基本不用考虑是PESHiELD 2004-12-25 21:05 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 5 楼 .yygw？怎么象是应用程序病毒免疫器呢？ 2004-12-25 21:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼 :D :D :D 2004-12-25 21:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 firstrose 发布 .yygw？怎么象是应用程序病毒免疫器呢？看样子是病毒免疫器扫描类型：实时防护扫描病毒名称: Hacktool 采用的操作：隔离成功 : 拒绝访问看不了了 2004-12-25 21:32 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 8 楼确实是应用程序病毒免疫器,自己却仿病毒,骗过了peid,也骗过了算法好手stasi 2004-12-25 22:18 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 9 楼既然是多重壳，就是走捷径！直接　hr 12FFc0 ........ [/QUOTE] 楼主：是不是所有的多重壳都可以走捷径！直接　hr 12FFc0？ 2004-12-25 23:27 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 10 楼巧合,某些用seh请断点的是没效果的,如acprotect,TElock 2004-12-26 00:10 0
stasi 雪币： 298 活跃值： (512) 能力值： ( LV12，RANK：490 ) 在线值：发帖 21 回帖 127 粉丝 2 关注私信	stasi 12 11 楼最初由 ljy3282393 发布既然是多重壳，就是走捷径！直接　hr 12FFc0 ........ 楼主：是不是所有的多重壳都可以走捷径！直接　hr 12FFc0？ [/QUOTE] 不是的，当然我先前自己走过的，发现比较一般的东西，处理办法是很多的，最后写了最简单的办法，要不就不能叫秒脱了：） 2004-12-26 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复