【文章标题】: 简单修复Themida加壳的VC7+去除软件自校验
【文章作者】: wuhanqi
【作者邮箱】: wuhanqi@qq.com
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  题外话：
   其实这个VC7的程序我本来都放一边了，因为实在是找不到对比OEP的无壳程序，可是昨天Nisy 老大发给我一个蛮有意思的注册验证程序，DJ Java Decompiler 3.11，无壳的，我用OD载入后一看到Push 60就一下子想起了这个TMD加壳的VC7，遂有了此文。
  
  加壳程序是国产的。我就不透漏名称了。
  
  这就是无壳程序的OEP：
  00477F88 > $  6A 60         PUSH 60
  00477F8A   .  68 30805000   PUSH 00508030
  00477F8F   .  E8 744D0000   CALL 0047CD08
  00477F94   .  BF 94000000   MOV EDI,94
  00477F99   .  8BC7          MOV EAX,EDI
  00477F9B   .  E8 70FEFFFF   CALL 00477E10
  00477FA0   .  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
  00477FA3   .  8BF4          MOV ESI,ESP
  00477FA5   .  893E          MOV DWORD PTR DS:[ESI],EDI
  00477FA7   .  56            PUSH ESI                                 ; /pVersionInformation
  00477FA8   .  FF15 78934F00 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; \GetVersionExA
  00477FAE   .  8B4E 10       MOV ECX,DWORD PTR DS:[ESI+10]
  00477FB1   .  890D CC465400 MOV DWORD PTR DS:[5446CC],ECX
  00477FB7   .  8B46 04       MOV EAX,DWORD PTR DS:[ESI+4]
  00477FBA   .  A3 D8465400   MOV DWORD PTR DS:[5446D8],EAX
  00477FBF   .  8B56 08       MOV EDX,DWORD PTR DS:[ESI+8]
  00477FC2   .  8915 DC465400 MOV DWORD PTR DS:[5446DC],EDX
  00477FC8   .  8B76 0C       MOV ESI,DWORD PTR DS:[ESI+C]
  00477FCB   .  81E6 FF7F0000 AND ESI,7FFF
  00477FD1   .  8935 D0465400 MOV DWORD PTR DS:[5446D0],ESI
  00477FD7   .  83F9 02       CMP ECX,2
  00477FDA   .  74 0C         JE SHORT 00477FE8
  00477FDC   .  81CE 00800000 OR ESI,8000
  00477FE2   .  8935 D0465400 MOV DWORD PTR DS:[5446D0],ESI
  00477FE8   >  C1E0 08       SHL EAX,8
  00477FEB   .  03C2          ADD EAX,EDX
  00477FED   .  A3 D4465400   MOV DWORD PTR DS:[5446D4],EAX
  00477FF2   .  33F6          XOR ESI,ESI
  00477FF4   .  56            PUSH ESI                                 ; /pModule => NULL
  00477FF5   .  8B3D 5C934F00 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetModu>; |kernel32.GetModuleHandleA
  00477FFB   .  FFD7          CALL EDI                                 ; \GetModuleHandleA
  00477FFD   .  66:8138 4D5A  CMP WORD PTR DS:[EAX],5A4D
  00478002   .  75 1F         JNZ SHORT 00478023
  
  
  废话不多说了，OD载入程序打开内存镜像看TMDBASE是多少，565000，用编辑工具修改一下Nooby牛的脚本，然后跑脚本...这个过程我就不多叙述了。
  脚本结束后停在OEP附近的第一个CALL中。
  00471940    68 A0F14600     push 0046F1A0
  00471945    64:A1 00000000  mov eax,dword ptr fs:[0]
  0047194B    50              push eax
  0047194C    8B4424 10       mov eax,dword ptr ss:[esp+10]
  00471950    896C24 10       mov dword ptr ss:[esp+10],ebp
  00471954    8D6C24 10       lea ebp,dword ptr ss:[esp+10]
  00471958    2BE0            sub esp,eax
  0047195A    53              push ebx
  0047195B    56              push esi
  0047195C    57              push edi
  0047195D    8B45 F8         mov eax,dword ptr ss:[ebp-8]
  00471960    8965 E8         mov dword ptr ss:[ebp-18],esp
  00471963    50              push eax
  00471964    8B45 FC         mov eax,dword ptr ss:[ebp-4]
  00471967    C745 FC FFFFFFF>mov dword ptr ss:[ebp-4],-1
  0047196E    8945 F8         mov dword ptr ss:[ebp-8],eax
  00471971    8D45 F0         lea eax,dword ptr ss:[ebp-10]
  00471974    64:A3 00000000  mov dword ptr fs:[0],eax
  0047197A    C3              retn
  
  看堆栈：
  0012FF54   007FE908  SuperRec.007FE908
  0012FF58   0049F740  SuperRec.0049F740  第②句PUSH
  0012FF5C   00000060                     第①句PUSH
  0012FF60   00400208  ASCII "   "
  0012FF64   0012FFC4
  0012FF68   00792EB8  SuperRec.00792EB8
  
  可以猜出前三句OEP为
  push 60
  push 0049f740
  call 00471940
  
  接下来走出这个call。
  007FE908    68 16EB2925     push 2529EB16
  007FE90D  ^ E9 29B9FFFF     jmp 007FA23B
  
  单步走过上面的jmp，来到：
  007FA23B    6A 00           push 0
  007FA23D    0F89 15000000   jns 007FA258
  
  打开内存镜像。在00401000段F2，然后F9，停在OEP附近第二个call处。
  00470540    3D 00100000     cmp eax,1000
  00470545    73 0E           jnb short 00470555
  00470547    F7D8            neg eax
  00470549    03C4            add eax,esp
  0047054B    83C0 04         add eax,4
  0047054E    8500            test dword ptr ds:[eax],eax
  00470550    94              xchg eax,esp
  00470551    8B00            mov eax,dword ptr ds:[eax]
  00470553    50              push eax
  00470554    C3              retn
  
  此时可以对比无壳的程序看一下代码，这是无壳的前几句：
  00477F88 > $  6A 60         PUSH 60
  00477F8A   .  68 30805000   PUSH 00508030
  00477F8F   .  E8 744D0000   CALL 0047CD08
  00477F94   .  BF 94000000   MOV EDI,94
  00477F99   .  8BC7          MOV EAX,EDI
  00477F9B   .  E8 70FEFFFF   CALL 00477E10
  00477FA0   .  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
  
  再看看我们的寄存器。
  EAX 00000094
  ECX 00020048
  EDX 00020048
  EBX 0012FF64
  ESP 0012FEDC
  EBP 0012FF5C
  ESI F63945F1
  EDI 00000094
  EIP 00470540 SuperRec.00470540
  
  的确EDI与EAX都变红而且都为94
  
  那接下来三句就是
mov edi,94
mov eax,edi
call 00470540
  
  接下来走出这个call：
  007FE91A    68 7FE9110B     push 0B11E97F
  007FE91F  ^ E9 17B9FFFF     jmp 007FA23B
  
  依旧走过这个jmp后在code段下断再F9
  此时停在这里:
  019F8947    FF33            push dword ptr ds:[ebx]                  ; kernel32.GetVersionExA
  019F8949  ^ E9 F580F5FF     jmp 01950A43
  
  看信息窗口：
  ds:[004932AC]=77AB9D76 (kernel32.GetVersionExA)
  
  这个地址很关键，我们可以对照着看无壳程序的OEP，在下一个call就是call这个函数，
  那这个call就应该这样写了:call dword ptr ds:[004932ac]
  
  又因为VC7的OEP相对固定，
  那接下来几句就是：
  MOV DWORD PTR SS:[EBP-18],ESP
  MOV ESI,ESP
  MOV DWORD PTR DS:[ESI],EDI
  PUSH ESI   
  call dword ptr ds:[004932ac]
   
  插句题外话:其实你记不住这个地址也没问题,因为GetVersionExA和GetModuleHandleA在IAT输入表里很接近.而程序下面就就有调用GetModuleHandleA,找到了GetModuleHandleA就等于找到了GetVersionExA.

  我们再继续走jmp下code段的断点。此过程我就不做记录了。
  值的注意的是走到这里的时候：
  019FD621    F3:A4           rep movs byte ptr es:[edi],byte ptr ds:[>
  019FD623    68 016D0000     push 6D01
  019FD628    890C24          mov dword ptr ss:[esp],ecx
  
  在019fd621需要是F7再F8，否则程序跑飞，前功尽弃。
  最终我们停在这里：
  0046EF05    A3 00B65100     mov dword ptr ds:[51B600],eax
  0046EF0A    8B56 08         mov edx,dword ptr ds:[esi+8]
  0046EF0D    8915 04B65100   mov dword ptr ds:[51B604],edx
  0046EF13    8B76 0C         mov esi,dword ptr ds:[esi+C]
  0046EF16    81E6 FF7F0000   and esi,7FFF
  0046EF1C    8935 F8B55100   mov dword ptr ds:[51B5F8],esi
  0046EF22    83F9 02         cmp ecx,2
  0046EF25    74 0C           je short 0046EF33
  0046EF27    81CE 00800000   or esi,8000
  0046EF2D    8935 F8B55100   mov dword ptr ds:[51B5F8],esi
  0046EF33    C1E0 08         shl eax,8
  0046EF36    03C2            add eax,edx
  0046EF38    A3 FCB55100     mov dword ptr ds:[51B5FC],eax
  0046EF3D    33F6            xor esi,esi
  0046EF3F    56              push esi
  0046EF40    8B3D A8324900   mov edi,dword ptr ds:[4932A8]            ; kernel32.GetModuleHandleA
  0046EF46    FFD7            call edi
  0046EF48    66:8138 4D5A    cmp word ptr ds:[eax],5A4D
  
  上面距离call GetVersionExA 这个函数依旧还有三句话：
  这是无壳程序的那三句话：
  00477FAE   .  8B4E 10       MOV ECX,DWORD PTR DS:[ESI+10]
  00477FB1   .  890D CC465400 MOV DWORD PTR DS:[5446CC],ECX
  00477FB7   .  8B46 04       MOV EAX,DWORD PTR DS:[ESI+4]
  00477FBA   .  A3 D8465400   MOV DWORD PTR DS:[5446D8],EAX
  
  这下有人晕了，这可怎么搞，没有地址怎么修复？
  其实很简单，我们用无壳程序的这两句地址相减，即5446d8-5446cc=c
  那我们需要的那个地址就应该是 51b600-c=51B5F4
  
  那我们加壳程序的接下来三句就应该是：
  MOV ECX,DWORD PTR DS:[ESI+10]
  MOV DWORD PTR DS:[51B5F4],ECX
  MOV EAX,DWORD PTR DS:[ESI+4]
  
  总结一下被偷的OEP就是：
  push 60
  push 0049f740
  call 00471940
  mov edi,94
  mov eax,edi
  call 00470540
  MOV DWORD PTR SS:[EBP-18],ESP
  MOV ESI,ESP
  MOV DWORD PTR DS:[ESI],EDI
  PUSH ESI   
  call dword ptr ds:[004932ac]
  MOV ECX,DWORD PTR DS:[ESI+10]
  MOV DWORD PTR DS:[51B5F4],ECX
  MOV EAX,DWORD PTR DS:[ESI+4]   
  
  这样脱好壳之后，运行程序，窗口一闪而过。
  自校验。。
  我用的是bp GetFileSize
  因为程序是窗口一闪而过，所以要在显示窗口后再返回程序。
  返回程序领空只需要F8即可来到这里：
  0042A126   > \3B7424 20     cmp esi,dword ptr ss:[esp+20]
  0042A12A   .  74 14         je short 0042A140
  0042A12C   .  8B5424 24     mov edx,dword ptr ss:[esp+24]
  0042A130   .  8B42 2C       mov eax,dword ptr ds:[edx+2C]
  0042A133   .  53            push ebx                                 ; /lParam
  0042A134   .  53            push ebx                                 ; |wParam
  0042A135   .  6A 12         push 12                                  ; |Message = WM_QUIT
  0042A137   .  50            push eax                                 ; |ThreadId
  0042A138   .  90            nop                                      ; |
  0042A139   .  E8 50DB1877   call user32.PostThreadMessageW           ; \PostThreadMessageW
  0042A13E   .  EB 15         jmp short 0042A155
  0042A140   >  57            push edi
  0042A141   .  E8 FC580500   call 0047FA42
  0042A146   .  8B8D 68AB0200 mov ecx,dword ptr ss:[ebp+2AB68]
  0042A14C   .  83C4 04       add esp,4
  0042A14F   .  C701 08000000 mov dword ptr ds:[ecx],8
  0042A155   >  8D4C24 28     lea ecx,dword ptr ss:[esp+28]
  0042A159   .  885C24 40     mov byte ptr ss:[esp+40],bl
  0042A15D   .  E8 6A700500   call 004811CC
  0042A162   .  5D            pop ebp
  
  把42a12a的74改成eb即可。
  第一次看到结束程序用PostThreadMessageW的这个函数的。。
  
--------------------------------------------------------------------------------
【经验总结】
  其实VC7的OEP真的很好修复的.不是一般的好修复.
  只不过很难找到一个门当户对的无壳程序来对比OEP修复.
  这次是我运气好,也感谢Nisy老大~呵呵.
  
--------------------------------------------------------------------------------
【版权声明】: 菜鸟一个,没啥版权..

                                                       2009年08月10日 8:59:29

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课