[原创]NoobyProtect 1.0.0.1 最小保护完全修复手记-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]NoobyProtect 1.0.0.1 最小保护完全修复手记

发表于: 2009-8-21 11:31 11333

[原创]NoobyProtect 1.0.0.1 最小保护完全修复手记

NONAME剑人

2009-8-21 11:31

11333

NoobyProtect 1.0.0.1 最小保护完全修复手记

第一句：膜拜Nooby,hc版主
第二句：感谢yangjt的热心解答测试，感谢sessiondiy的大力支持

天哪，这玩意太变态了。这个壳拖拖拉拉搞了近半年，终于完成了1个脱壳……汗……还是1001的最小保护……

不过不管怎么说终于修复成功了。第一次觉得notepad的界面如此亲切……:lol

进入正题，这个手记将会分5部分写出

1 NoobyProtect 1.0.0.1最小保护加密技术概貌

2 脚本实现分析

3 脚本使用方法

4 脚本插件出现的BUG

5 展望未来的np
==========================================================================
1 NoobyProtect 1.0.0.1最小保护 IAT加密技术概貌

最小保护没有加密代码段。
但是处理IAT极为猥琐
比如说开头这段
正常的程序为

0100739D > $  6A 70         PUSH 70
0100739F   .  68 98180001   PUSH NOTEPAD.01001898
010073A4   .  E8 BF010000   CALL NOTEPAD.01007568
010073A9   .  33DB          XOR EBX,EBX
010073AB   .  53            PUSH EBX                                 ; /pModule => NULL
010073AC   .  8B3D CC100001 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetModu>; |kernel32.GetModuleHandleA
010073B2   .  FFD7          CALL EDI                                 ; \GetModuleHandleA

0100739D    6A 70           PUSH 70
0100739F    68 98180001     PUSH NOTEPAD_.01001898
010073A4    E8 BF010000     CALL NOTEPAD_.01007568
010073A9    33DB            XOR EBX,EBX
010073AB    53              PUSH EBX
010073AC    E8 638D0400     CALL NOTEPAD_.01050114 //这句被和谐了
010073B1    2F              DAS
010073B2    FFD7            CALL EDI


01007411  POP ECX
01007412  OR DWORD PTR DS:[100AB9C],FFFFFFFF
01007419  OR DWORD PTR DS:[100ABA0],FFFFFFFF
01007420  CALL DWORD PTR DS:[<&msvcrt.__p__fmode>] ;  msvcrt.__p__fmode

01007411  POP ECX
01007412  OR DWORD PTR DS:[100AB9C],FFFFFFFF
01007419  OR DWORD PTR DS:[100ABA0],FFFFFFFF
01007420  CALL NOTEPAD_.0105042E

0105042E   PUSHAD
0105042F   PUSHFD
01050430   CALL NOTEPAD_.01050435
01050435   MOV EBX,DWORD PTR SS:[ESP]
01050438   ADD EBX,23
0105043B   XOR EAX,EAX
0105043D   XCHG DWORD PTR DS:[EBX-4],EAX
01050440   CMP EAX,0
01050443   JE SHORT NOTEPAD_.0105044C
01050445   XOR BYTE PTR DS:[EBX],0D0
01050448   INC EBX
01050449   DEC EAX
0105044A   JNZ SHORT NOTEPAD_.01050445
0105044C   POP EAX
0105044D   POPFD
0105044E   POPAD
0105044F   JMP NOTEPAD_.01050458

gmi eip,CODEBASE
mov findtemp,$RESULT
alloc 2000
add $RESULT,100            //做IAT用
mov newiat,$RESULT
mov nnewiat,newiat

startfind:
findop findtemp,#E8????????# //查找所有call

cmp $RESULT,0  //找不到就大功告成啦
je overfind

mov savelast,$RESULT //存一下找到的地址


mov temp,[$RESULT+1]
add temp,$RESULT
add temp,5
mov myeip,temp
mov temp,[temp]
cmp temp,e89c60  //对该CALL的头3字节判断，以达到判断是否为np加密的call
jnz next //不是去死


    mov b,myeip
    mov calleip,myeip
    findop b,#8033??#  //找到关键一句
    mov temp1,$RESULT
    add temp1,2  
    mov xorbyte,[temp1] //得到xor的常数
    mov ecx,xorbyte
    mov xorbyte,cl  //将xor的常数赋到xorbyte中

0105042E     60               PUSHAD
0105042F     9C               PUSHFD
01050430     E8 00000000      CALL NOTEPAD_.01050435
01050435     8B1C24           MOV EBX,DWORD PTR SS:[ESP]
01050438     83C3 23          ADD EBX,23
0105043B     33C0             XOR EAX,EAX
0105043D     8743 FC          XCHG DWORD PTR DS:[EBX-4],EAX
01050440     83F8 00          CMP EAX,0
01050443     74 07            JE SHORT NOTEPAD_.0105044C
01050445     8033 D0          XOR BYTE PTR DS:[EBX],0D0  //******
01050448     43               INC EBX
01050449     48               DEC EAX
0105044A   ^ 75 F9            JNZ SHORT NOTEPAD_.01050445
0105044C     58               POP EAX
0105044D     9D               POPFD
0105044E     61               POPAD
0105044F     E9 04000000      JMP NOTEPAD_.01050458

    mov xorstart,b
    add xorstart,2a
    add xorstart,1b
    mov temp1,[xorstart+1]
    mov eax,[xorstart+8]

01050170     68 75133576      PUSH 76351375
01050175     810424 8EEDCF8A  ADD DWORD PTR SS:[ESP],8ACFED8E

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

s0p.JPG （8.95kb，804次下载）
test.JPG （47.83kb，807次下载）

收藏・8

免费・7

支持

最新回复 (14)
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 2 楼上传附件；）脚本脚本.rar 试炼品 NOTEPAD_npse.rar 出炉的（NAG没去，TLS清零就OK了） okokok.rar 上传的附件：脚本.rar （1.80MB，101次下载） NOTEPAD_npse.rar （112.59kb，62次下载） okokok.rar （111.59kb，41次下载） 2009-8-21 11:34 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 3 楼我是来膜拜Lz的 2009-8-21 11:34 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 4 楼继续上传 npse101原程序 npse_public.rar 上传的附件： npse_public.rar （1.01MB，97次下载） 2009-8-21 11:35 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 5 楼 ……yangjt真是速度 2009-8-21 11:35 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼你们都太坏了 2009-8-21 12:00 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 7 楼够朋友了吧，多次跟进XX 2009-8-21 12:45 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 8 楼嘿嘿，谢谢LS,LSS AND。。。。。捧场 2009-8-21 13:05 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 9 楼很精彩，支持 2009-8-21 13:24 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 10 楼谢谢捧场;) 2009-8-21 18:13 0
Acmmca 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Acmmca 11 楼膜拜楼主跟Nooby 2009-9-11 11:50 0
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 12 楼好文章！！！ 2010-3-12 19:01 0
黄哈哈雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	黄哈哈 13 楼 UIF修复可能存在跨平台问题哦~~大家使用需要小心谢谢学习了 2010-5-1 23:12 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 14 楼膜拜Lz膜拜Lz 2010-5-10 15:47 0
hzdwang 雪币： 239 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	hzdwang 15 楼脱壳真的很烦！难道是我太笨？ 2011-1-12 11:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NONAME剑人

发帖

407

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 2 楼上传附件；）脚本脚本.rar 试炼品 NOTEPAD_npse.rar 出炉的（NAG没去，TLS清零就OK了） okokok.rar 上传的附件：脚本.rar （1.80MB，101次下载） NOTEPAD_npse.rar （112.59kb，62次下载） okokok.rar （111.59kb，41次下载） 2009-8-21 11:34 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 3 楼我是来膜拜Lz的 2009-8-21 11:34 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 4 楼继续上传 npse101原程序 npse_public.rar 上传的附件： npse_public.rar （1.01MB，97次下载） 2009-8-21 11:35 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 5 楼 ……yangjt真是速度 2009-8-21 11:35 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼你们都太坏了 2009-8-21 12:00 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 7 楼够朋友了吧，多次跟进XX 2009-8-21 12:45 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 8 楼嘿嘿，谢谢LS,LSS AND。。。。。捧场 2009-8-21 13:05 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 9 楼很精彩，支持 2009-8-21 13:24 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 10 楼谢谢捧场;) 2009-8-21 18:13 0
Acmmca 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Acmmca 11 楼膜拜楼主跟Nooby 2009-9-11 11:50 0
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 12 楼好文章！！！ 2010-3-12 19:01 0
黄哈哈雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	黄哈哈 13 楼 UIF修复可能存在跨平台问题哦~~大家使用需要小心谢谢学习了 2010-5-1 23:12 0
johnsonlyg 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	johnsonlyg 14 楼膜拜Lz膜拜Lz 2010-5-10 15:47 0
hzdwang 雪币： 239 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	hzdwang 15 楼脱壳真的很烦！难道是我太笨？ 2011-1-12 11:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]NoobyProtect 1.0.0.1 最小保护 完全修复 手记

[原创]NoobyProtect 1.0.0.1 最小保护完全修复手记