新手小白请教:E盾的脱壳家破解流程,请大佬指出错误
本帖最后由 Sara 于 2021-10-20 21:03 编辑最近从朋友那得到了一个软件,说是upx壳子,让我看看,我好歹学了论坛里面的一些教程了以为很简单,所以答应了,就有了下面的故事。。。。
软件经我最后查证应该是个e盾,拖od跑开的话会有蓝屏暗桩,软件有个ip拉黑机制。最后发现还可能有个小盾????
本来就是想push大法绕过登录,结果越来越复杂,直到知识盲区,大家给点意见。。。。。。
下面是我的流程:
软件截图
https://attach.52pojie.cn//forum/202110/17/071341zcxsn3kabbkhanac.png?l
查壳结果
https://attach.52pojie.cn//forum/202110/17/071531xwkq50q7kiuuxuu5.png?l
看这个样子它是个upx,拖入od,esp定律法伺候
https://attach.52pojie.cn//forum/202110/17/071752cj9orqo22bijukll.png?l
选择否,esp追踪下断点
https://attach.52pojie.cn//forum/202110/17/072505fvkgksp59nen695r.png?l
执行到断点位置,单步,有个向上跳转,会执行20多次,直接f4跳出来
https://attach.52pojie.cn//forum/202110/17/072748feej3nfn0i50fi36.png?l
单步2次即可找到入口点
https://attach.52pojie.cn//forum/202110/17/073216l72hhsgpl5fa4p9a.png?l
右键脱壳并记录oep
https://attach.52pojie.cn//forum/202110/17/073332sd32i27vlz7d27ug.png?l
点击脱壳生成文件到桌面,命名为444,打开ImportREC选择进程,填入oep地址
https://attach.52pojie.cn//forum/202110/17/073811uffrsi9ntufuurev.png?l
自动搜索,获取导入表,显示无效指针,删除无效指针,修正转储
https://attach.52pojie.cn//forum/202110/17/074103zbjyrxwfexyjyfwz.png?lhttps://attach.52pojie.cn//forum/202110/17/074202n5n50bu5s22neec2.png?lhttps://attach.52pojie.cn//forum/202110/17/074249jl754aly42c7n222.png?l
生成软件后发现是打不开鸭,壳子似乎还是有的
https://attach.52pojie.cn//forum/202110/17/074435vyypludu397ludhp.png?lhttps://attach.52pojie.cn//forum/202110/17/074442wrwo70091xkbjo07.png?l
思路到这就断了,然后就找教程,有个类似的教程,但是他是没有壳的,只是捆绑了一个木马,用ripper插件分离出了木马,所以我也试了试
https://attach.52pojie.cn//forum/202110/17/074729rcnhuh0ir7x0phup.png?lhttps://attach.52pojie.cn//forum/202110/17/074758s1hdoid910vpsk66.png?l
分出了两个软件,第一个易语言的是一个无限弹框的东西(多亏我是虚拟机),第二个依然是打不开
https://attach.52pojie.cn//forum/202110/17/074931yhiw5ymyh4r8m4z8.png?lhttps://attach.52pojie.cn//forum/202110/17/082518q7anqltgkqimbkmm.jpg?l
第二个软件查壳的话似乎没有壳了,但是为啥打不开emmmm
https://attach.52pojie.cn//forum/202110/17/082757imzjxf2a9fvab2fe.png?l
好了这回是真的不会了,请各位大佬指点一下下迷津
Sara 发表于 2021-10-20 09:37
push的话只有这几个窗口
push 0x5201000C#登录
push 0x80000301 #报错
我的水平有限 我都手脱不了 UPX壳但是我用壳脱壳 最终 可以运行,也可以修改代码。
先转存 会报错0005重建PE 会报错什么地址错误,说明 可以运行了。。
第三步重要,打开带壳程序,打开脱壳程序 放在OD里,找到第一个错误地址,
第四部 在正常程序了在这个地址下写入硬件断点,找到壳程序 修复地址的程序段,(一般在最后)
第五部修改oep 在空白地方 设置新的oep ,pushad JMP调到壳程序 popadJMP原始oep 很巧,我最近也在逆向这个辅助,开启后会访问一个域名获取ip和6001/6002类似的字符串,接着会把本地的一些机器码加密后通过tcp给服务器验证,应该有自验证,然后服务端记录是否进黑名单;
1.想过本地hosts修改后,解析到我自己的服务端,发现后面实际tcp连接的地址并不是开始拿到的那个ip,暂时无解;
2.直接拦截tcp,看协议,MSG /MSG协议包,具体协议没分析出来,功力不够{:1_937:}
3.想尝试写补丁,但是没写过,看过点inlinehook啥的,但是没思路,不知道怎么下手,猜测是要通过钩子去调自身的加密解密函数后修改返回
4.@iversonlee 还有上文提到的释放文件提取是什么思路,确实登录后,会开启另一个程序,是要找到这个程序复制出来吗?然后面向这个进行逆向吗?
5.第一次搞这种带网络验证的,希望有大佬指点一二
给大佬们双手把样本奉上:
链接:https://pan.baidu.com/s/18oHhsVG3YoG1WmQicHHu6A
提取码:lv7v
本帖最后由 iversonlee 于 2021-10-20 00:37 编辑
不像E盾吧 带壳搞 吧 不知道怎么用具体 带释放文件的 字符串明文的很好找 iversonlee 发表于 2021-10-20 00:25
不像E盾吧 带壳搞 吧 不知道怎么用具体 带释放文件的 字符串明文的很好找
直接带壳用push大法嘛,大佬有没有可参考的教程 我觉得是修复导入表问题,是不是还有延迟导入表 本帖最后由 Sara 于 2021-10-20 09:01 编辑
我没太听明白 本帖最后由 Sara 于 2021-10-20 11:39 编辑
111111111111111111111111111111111 54mj 发表于 2021-10-20 07:39
我觉得是修复导入表问题,是不是还有延迟导入表
push的话只有这几个窗口
push 0x5201000C#登录
push 0x80000301 #报错
push 0x80000004 #报错
push 0x5201A30F #升级
54mj 发表于 2021-10-20 11:50
我的水平有限 我都手脱不了 UPX壳但是我用壳脱壳 最终 可以运行,也可以修改代码。
先转存 会报错00 ...
我的目的是爆破 不是逆向,也不想写内存补丁,所以脱不干净也没事 能运行 能保存修改就行。