首页
社区
课程
招聘
[原创]crackme大赛第十回之crackme脱壳
发表于: 2009-9-18 16:06 6868

[原创]crackme大赛第十回之crackme脱壳

2009-9-18 16:06
6868

crackme大赛第十回之crackme脱壳

在unpack上看见海风发了个这个unpackme,其实是crackme大赛第十回之crackme,遂下来研究了一下,与大家分享一下心得。

程序ep:

0047A034 <>  60                     pushad
0047A035     9C                     pushfd
0047A036     E8 8E000000            call CrackMe.0047A0C9                  ; 来到这里 esp定律 命令行下hr esp
0047A03B     C3                     retn

F9运行来到这里:
0037087A     E8 980D0000            call 00371617                          ; f7走一下
0037087F     51                     push ecx
00370880     E9 600C0000            jmp 003714E5

00371617     8D6424 04              lea esp,dword ptr ss:[esp+4]           ; 这里
0037161B     61                     popad
0037161C   ^ E9 E7F9FFFF            jmp 00371008                           ; 这里继续F7

00371008   - FFE0                   jmp eax                                ; 跳向oep

OEP:
0047148B     55                     push ebp
0047148C     8BEC                   mov ebp,esp
0047148E     6A FF                  push -1
00471490     68 28514700            push CrackMe.00475128
00471495     68 58214700            push CrackMe.00472158
0047149A     64:A1 00000000         mov eax,dword ptr fs:[0]
004714A0     50                     push eax
004714A1     64:8925 00000000       mov dword ptr fs:[0],esp
004714A8     83EC 58                sub esp,58
004714AB     53                     push ebx
004714AC     56                     push esi
004714AD     57                     push edi
004714AE     8965 E8                mov dword ptr ss:[ebp-18],esp
004714B1     FF15 80504700          call dword ptr ds:[475080]
004714B7     33D2                   xor edx,edx
004714B9     8AD4                   mov dl,ah
004714BB     8915 C4854700          mov dword ptr ds:[4785C4],edx
004714C1     8BC8                   mov ecx,eax
004714C3     81E1 FF000000          and ecx,0FF
004714C9     890D C0854700          mov dword ptr ds:[4785C0],ecx
004714CF     C1E1 08                shl ecx,8
004714D2     03CA                   add ecx,edx
004714D4     890D BC854700          mov dword ptr ds:[4785BC],ecx
004714DA     C1E8 10                shr eax,10
004714DD     A3 B8854700            mov dword ptr ds:[4785B8],eax
004714E2     33F6                   xor esi,esi
004714E4     56                     push esi
004714E5     E8 160B0000            call CrackMe.00472000
004714EA     59                     pop ecx
004714EB     85C0                   test eax,eax
004714ED     75 08                  jnz short CrackMe.004714F7

可以看到IAT加密了,数据窗口ctrl+g来到00475080:
00475000  00552264
00475004  005521A0
00475008  00552137  ASCII "h
"
0047500C  00552328

。。。。。。。。

00475074  00554BF5 
00475078  00554C1D
0047507C  00556690
00475080  00555039 ********
00475084  00554607
00475088  00554986
0047508C  00552ECB
00475090  00552369

到552264去新建eip,看看它怎么解密的。多次跟踪发现:

005522DF     8B3F                   mov edi,dword ptr ds:[edi]             ; GDI32.SetTextColor

当上面指令执行完之后edi就是函数地址。

我写了一段脚本来完成正确iat的填充工作,脚本水平很烂,呵呵.
esp定律到达oep之后就可以运行脚本了

var thunk 
var oep
var address
var temp

mov oep,eip
mov thunk,00475000  ;iat起始地址
label1:
cmp [thunk],0    ;处理下一个dll
jne next
add thunk,4
cmp [thunk],0    ;判断是否处理结束
je stop
next:
mov address,[thunk]
mov eip,address    ;新建eip
find eip,#8b3f#         ;查找关键位置
bp $RESULT          
esto
bc $RESULT
sti                     ;走一下    
mov [thunk],edi         ;正确地址写入
add thunk,4
jmp label1

stop:
mov eip,oep
ret

脚本运行完成之后就可以转存,修复了。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (7)
雪    币: 291
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
顶~~~~~~~~
2009-9-18 16:17
0
雪    币: 246
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
似乎现在的壳都把iat加密了~~~~~
2009-9-18 22:46
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
4
哈哈,这个要顶~~
2009-9-18 23:58
0
雪    币: 440
活跃值: (61)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
支持一下!
不过最好的方法是在个关键地方改个跳转,IAT修都不用修!


0047A41B FFD2 call edx F7进入


ctrl+B 搜


0F 85 A5 F5 ?? FF


将搜到指令的jnz 改成jmp   壳就不加密IAT了!
2009-9-19 02:09
0
雪    币: 1024
活跃值: (240)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
6
谢谢提醒 不错
2009-9-20 15:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
前来学习一下
2009-9-20 15:43
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
支持原创
努力学习
2009-10-6 13:54
0
游客
登录 | 注册 方可回帖
返回
//