mozhongzhou 发表于 2024-9-5 22:22

《吾爱破解培训第一课:破解基础知识之介绍常见工具和壳的特征》全流程(下)

本帖最后由 mozhongzhou 于 2024-9-9 11:25 编辑

# 前言

**目的**

记录踩坑经验,帮助他人避免同样问题。

**提示**

使用浏览器左侧目录快速导航。

**注意**

如有错误,请指正。

# 环境:

虚拟机Windows 10 企业版 LTSC

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-334.png)

# 可能用到的软件:

> 工欲善其事必先利其器

| 软件名称                                                   | 类别         | 作用                                             |
| ------------------------------------------------------------ | ------------ | -------------------------------------------------- |
| VMware                                                       | 虚拟化软件   | 创建和管理虚拟机,运行多个操作系统实例             |
| (https://github.com/horsicq/Detect-It-Easy)(DIE) | 文件分析工具 | 识别可执行文件的编译器、打包器和加壳工具         |
| (https://github.com/ExeinfoASL/Exeinfo)          | 文件分析工具 | 分析可执行文件的编译器、打包器和加壳工具         |
| PEiD (Portable Executable Identifier)                      | 文件分析工具 | 检测可执行文件的编译器、打包器和加壳工具         |
| (https://github.com/x64dbg/x64dbg) (Debugger)   | 调试工具   | 调试 32 位和 64 位可执行文件                     |
| aslr_disabler                                                | 安全工具   | 禁用地址空间布局随机化(ASLR),便于调试和逆向工程 |

# 可能用到的链接

> **爱盘下载:**
> http://down.52pojie.cn/吾爱破解视频教程/吾爱破解论坛官方入门教学培训第一期/
> **百度网盘下载:**
> 链接: https://pan.baidu.com/s/1z9WQeYgUGxcurVD2lKfNeg ;提取码: e2su
>
> [零基础新手破解学习导航帖](https://www.52pojie.cn/thread-582852-1-1.html)

# 1、作业1

## 1.1、查壳

发现用 UPX 加壳

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-378.png)

## 1.2、ASLR修复

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-379.png)

## 1.3、找OEP

x32dbg打开进来

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-380.png)

F8一次过关键点pushad

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-381.png)

F9命中

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-382.png)

回来CPU发现00457765存在一次大跳转 41DDAC,很可能是要JMP OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-383.png)

F4过去,F8,到达OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-384.png)

## 1.4、Dump并IAT修复

Ctrl+i调出Scylla

Dump -> IAT Autosearch -> Get Imports -> Show Invalid -> (自动)选中Invalid部分delete -> Fix Dump

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-388.png)

fix dump 选择带dump的程序

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-389.png)

检查,脱壳是否完成,程序能否启动

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-390.png)

# 2、作业2

## 2.1、查壳

发现用 NsPack 加壳

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-391.png)

## 2.2、ASLR修复

发现不需要ASLR修复

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-392.png)

## 2.3、找OEP

x32dbg打开程序发现有pushfd和pushad

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-393.png)

F8两次步过关键点

给ESP下断 右下角堆栈窗口右键绿色地址 -> 断点 ->硬件断点,访问 -> 4字节

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-394.png)

F9运行,命中断点

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-395.png)

此时发现popfd和大跳转41DDAC,基本可以确定是JMP OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-396.png)

F8过去到达OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-397.png)

## 2.4、Dump并IAT修复

Dump得到"吾爱破解培训第一课作业二_dump.exe" -> IAT Autosearch,确定选择高级搜索结果 -> Get Imports获取导入表 -> Show Invalid (没有)->Fix Dump修复刚才得到的"吾爱破解培训第一课作业二_dump.exe"

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-398.png)

检查,壳去掉了吗,程序能运行吗?

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-399.png)

# 3、作业3

## 3.1、查壳

发现使用 FSG 加壳

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-400.png)

## 3.2、ASLR修复

发现不需要ASLR修复

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-401.png)

## 3.3、找OEP

x32dbg打开软件失败,直接打开软件也失败,将软件调成兼容模式,Win8 WinXP均无法打开

**查资料:**

> FSG(Fast Small Good)是一种老旧的可执行文件压缩工具,主要用于减小可执行文件的大小。然而,由于其年代久远,FSG 壳可能在现代操作系统(如 Windows 10)上存在兼容性问题。
>
> 遂跳过

# 4、选修作业4

## 4.1、查壳

软件能正常启动,发现是 PECompact 加壳

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-402.png)

## 4.2、ASLR修复

ASLR修复成功,得到"吾爱破解培训第一课选修作业四.exe"

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-403.png)

## 4.3、找OEP

x32dbg打开软件,发现并不是直接pushad,所以esp和直接查popad不适用,单步跟踪试了试容易跑飞,遂尝试两次内存镜像法

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-404.png)

在.rsrc处F2下断,F9运行

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-410.png)

发现命中后再在.text处F2下断,F9运行

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-411.png)

发现到此处,直接就是一个大跳转,F8跟一下

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-412.png)

这不像OEP,没调Call,继续向下跟踪一会

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-413.png)

F8到此处发现有个 JMP EAX,F8进去

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-414.png)

发现这里就符合OEP的特征了,一般到了OEP,用IAT搜索会得到大量正确的导入表信息,测试一下可以验证这里就是OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-415.png)

## 4.4、Dump并IAT修复

发现在这里搜索后获取导入表能得到大量正确的dll,大概率就是正确的,Fix完验证一下

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-416.png)

没有问题,程序脱壳完毕,能够运行!

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-417.png)

# 5、选修作业5

## 5.1、查壳

发现是 KByS 加壳,但遗憾程序无法启动

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-418.png)

查资料知

> KByS 是一种较老的加壳工具,类似于 FSG 等其他老旧的壳工具。由于其年代久远,KByS 壳可能在现代操作系统(如 Windows 10)上存在兼容性问题。
>
> 遂跳过

# 6、选修作业6

## 1.1、查壳

程序能正常启动,使用 WinUpack 加壳

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-419.png)

## 1.2、ASLR修复

ASLR修复成功,得到"吾爱破解培训第一课选修作业六.exe"

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-427.png)

## 1.3、找OEP

进来后发现pushad,典型的ESP大法,步过关键句,下断

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-428.png)

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-429.png)

F9命中

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-430.png)

回来发现一次大跳转

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-431.png)

F8跟一步到达OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-432.png)

## 1.4、Dump并IAT修复

Dump -> IAT Autosearch -> Get Imports -> Show Invalid (没有)->Fix Dump选择刚才dump的

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-433.png)

检查发现壳脱完进行IAT修复之后,程序能够运行,即使DIE查到Upack壳的残留,但是我们已经得知程序是VC++8了,这就够了

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-435.png)

# 7、选修作业7

## 1.1、查壳

程序能够正常运行,发现是 RLPack 加壳

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-436.png)

## 1.2、ASLR修复

ASLR修复成功,得到"吾爱破解培训第一课选秀作业七"

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-437.png)

## 1.3、找OEP

打开后发现pushad,似乎又能用ESP大法

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-438.png)

步过关键句后下断

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-439.png)

F9命中

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-440.png)

发现大跳转

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-441.png)

F8跳转来到OEP

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-442.png)

## 1.4、Dump并IAT修复

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-443.png)

检查,程序能够运行,且脱壳成功

!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-444.png)

本章完结!

# 写在最后

**感谢所有无私奉献的坛友**:

- 感谢所有在论坛中无私奉献的朋友们,你们的贡献使得知识得以传播和共享。

**本文只是对吾爱破解教程的流程记录**:

- 本文仅是对吾爱破解教程的流程记录,算是一个比较老的教程了,希望对大家有所帮助。

所有虚拟机、测试工具、测试软件均可在官网论坛和"可能用到的链接"中下载

>

mozhongzhou 发表于 2024-9-9 16:50

百度网盘链接显示提取码错误的话,请检查一下链接是否复制一样?链接中不应有中文哦

Abear 发表于 2024-9-6 12:06

第一课,已经学完了。

princekin 发表于 2024-9-10 15:00

涨知识。

buguoerliang 发表于 2024-9-9 10:14

曾经的最爱,曾经的梦想,最后成了路人

jk998 发表于 2024-9-6 00:16

抢个沙发,做个记号,慢慢学习

nc8888 发表于 2024-9-6 00:21

看不懂 以后学习

ffdds 发表于 2024-9-6 02:02

学习了, 谢谢@Thanks!

myxyvip 发表于 2024-9-6 02:50

感谢分享,链接失效了,麻烦补下

amn2007 发表于 2024-9-6 05:09

学习了,谢谢

EssenceA1 发表于 2024-9-6 06:11

感谢分享,收藏学习

a7663105 发表于 2024-9-6 08:06

收藏学习

Alanguth 发表于 2024-9-6 08:15

学习一下,感谢楼主。

lwjia 发表于 2024-9-6 08:19


感谢分享,收藏学习
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 《吾爱破解培训第一课:破解基础知识之介绍常见工具和壳的特征》全流程(下)