《吾爱破解培训第一课:破解基础知识之介绍常见工具和壳的特征》全流程(下)
本帖最后由 mozhongzhou 于 2024-9-9 11:25 编辑# 前言
**目的**
记录踩坑经验,帮助他人避免同样问题。
**提示**
使用浏览器左侧目录快速导航。
**注意**
如有错误,请指正。
# 环境:
虚拟机Windows 10 企业版 LTSC
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-334.png)
# 可能用到的软件:
> 工欲善其事必先利其器
| 软件名称 | 类别 | 作用 |
| ------------------------------------------------------------ | ------------ | -------------------------------------------------- |
| VMware | 虚拟化软件 | 创建和管理虚拟机,运行多个操作系统实例 |
| (https://github.com/horsicq/Detect-It-Easy)(DIE) | 文件分析工具 | 识别可执行文件的编译器、打包器和加壳工具 |
| (https://github.com/ExeinfoASL/Exeinfo) | 文件分析工具 | 分析可执行文件的编译器、打包器和加壳工具 |
| PEiD (Portable Executable Identifier) | 文件分析工具 | 检测可执行文件的编译器、打包器和加壳工具 |
| (https://github.com/x64dbg/x64dbg) (Debugger) | 调试工具 | 调试 32 位和 64 位可执行文件 |
| aslr_disabler | 安全工具 | 禁用地址空间布局随机化(ASLR),便于调试和逆向工程 |
# 可能用到的链接
> **爱盘下载:**
> http://down.52pojie.cn/吾爱破解视频教程/吾爱破解论坛官方入门教学培训第一期/
> **百度网盘下载:**
> 链接: https://pan.baidu.com/s/1z9WQeYgUGxcurVD2lKfNeg ;提取码: e2su
>
> [零基础新手破解学习导航帖](https://www.52pojie.cn/thread-582852-1-1.html)
# 1、作业1
## 1.1、查壳
发现用 UPX 加壳
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-378.png)
## 1.2、ASLR修复
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-379.png)
## 1.3、找OEP
x32dbg打开进来
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-380.png)
F8一次过关键点pushad
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-381.png)
F9命中
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-382.png)
回来CPU发现00457765存在一次大跳转 41DDAC,很可能是要JMP OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-383.png)
F4过去,F8,到达OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-384.png)
## 1.4、Dump并IAT修复
Ctrl+i调出Scylla
Dump -> IAT Autosearch -> Get Imports -> Show Invalid -> (自动)选中Invalid部分delete -> Fix Dump
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-388.png)
fix dump 选择带dump的程序
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-389.png)
检查,脱壳是否完成,程序能否启动
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-390.png)
# 2、作业2
## 2.1、查壳
发现用 NsPack 加壳
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-391.png)
## 2.2、ASLR修复
发现不需要ASLR修复
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-392.png)
## 2.3、找OEP
x32dbg打开程序发现有pushfd和pushad
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-393.png)
F8两次步过关键点
给ESP下断 右下角堆栈窗口右键绿色地址 -> 断点 ->硬件断点,访问 -> 4字节
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-394.png)
F9运行,命中断点
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-395.png)
此时发现popfd和大跳转41DDAC,基本可以确定是JMP OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-396.png)
F8过去到达OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-397.png)
## 2.4、Dump并IAT修复
Dump得到"吾爱破解培训第一课作业二_dump.exe" -> IAT Autosearch,确定选择高级搜索结果 -> Get Imports获取导入表 -> Show Invalid (没有)->Fix Dump修复刚才得到的"吾爱破解培训第一课作业二_dump.exe"
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-398.png)
检查,壳去掉了吗,程序能运行吗?
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-399.png)
# 3、作业3
## 3.1、查壳
发现使用 FSG 加壳
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-400.png)
## 3.2、ASLR修复
发现不需要ASLR修复
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-401.png)
## 3.3、找OEP
x32dbg打开软件失败,直接打开软件也失败,将软件调成兼容模式,Win8 WinXP均无法打开
**查资料:**
> FSG(Fast Small Good)是一种老旧的可执行文件压缩工具,主要用于减小可执行文件的大小。然而,由于其年代久远,FSG 壳可能在现代操作系统(如 Windows 10)上存在兼容性问题。
>
> 遂跳过
# 4、选修作业4
## 4.1、查壳
软件能正常启动,发现是 PECompact 加壳
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-402.png)
## 4.2、ASLR修复
ASLR修复成功,得到"吾爱破解培训第一课选修作业四.exe"
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-403.png)
## 4.3、找OEP
x32dbg打开软件,发现并不是直接pushad,所以esp和直接查popad不适用,单步跟踪试了试容易跑飞,遂尝试两次内存镜像法
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-404.png)
在.rsrc处F2下断,F9运行
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-410.png)
发现命中后再在.text处F2下断,F9运行
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-411.png)
发现到此处,直接就是一个大跳转,F8跟一下
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-412.png)
这不像OEP,没调Call,继续向下跟踪一会
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-413.png)
F8到此处发现有个 JMP EAX,F8进去
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-414.png)
发现这里就符合OEP的特征了,一般到了OEP,用IAT搜索会得到大量正确的导入表信息,测试一下可以验证这里就是OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-415.png)
## 4.4、Dump并IAT修复
发现在这里搜索后获取导入表能得到大量正确的dll,大概率就是正确的,Fix完验证一下
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-416.png)
没有问题,程序脱壳完毕,能够运行!
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-417.png)
# 5、选修作业5
## 5.1、查壳
发现是 KByS 加壳,但遗憾程序无法启动
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-418.png)
查资料知
> KByS 是一种较老的加壳工具,类似于 FSG 等其他老旧的壳工具。由于其年代久远,KByS 壳可能在现代操作系统(如 Windows 10)上存在兼容性问题。
>
> 遂跳过
# 6、选修作业6
## 1.1、查壳
程序能正常启动,使用 WinUpack 加壳
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-419.png)
## 1.2、ASLR修复
ASLR修复成功,得到"吾爱破解培训第一课选修作业六.exe"
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-427.png)
## 1.3、找OEP
进来后发现pushad,典型的ESP大法,步过关键句,下断
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-428.png)
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-429.png)
F9命中
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-430.png)
回来发现一次大跳转
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-431.png)
F8跟一步到达OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-432.png)
## 1.4、Dump并IAT修复
Dump -> IAT Autosearch -> Get Imports -> Show Invalid (没有)->Fix Dump选择刚才dump的
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-433.png)
检查发现壳脱完进行IAT修复之后,程序能够运行,即使DIE查到Upack壳的残留,但是我们已经得知程序是VC++8了,这就够了
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-435.png)
# 7、选修作业7
## 1.1、查壳
程序能够正常运行,发现是 RLPack 加壳
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-436.png)
## 1.2、ASLR修复
ASLR修复成功,得到"吾爱破解培训第一课选秀作业七"
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-437.png)
## 1.3、找OEP
打开后发现pushad,似乎又能用ESP大法
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-438.png)
步过关键句后下断
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-439.png)
F9命中
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-440.png)
发现大跳转
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-441.png)
F8跳转来到OEP
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-442.png)
## 1.4、Dump并IAT修复
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-443.png)
检查,程序能够运行,且脱壳成功
!(https://blog.mozhongzhou.cn/wp-content/uploads/2024/09/image-444.png)
本章完结!
# 写在最后
**感谢所有无私奉献的坛友**:
- 感谢所有在论坛中无私奉献的朋友们,你们的贡献使得知识得以传播和共享。
**本文只是对吾爱破解教程的流程记录**:
- 本文仅是对吾爱破解教程的流程记录,算是一个比较老的教程了,希望对大家有所帮助。
所有虚拟机、测试工具、测试软件均可在官网论坛和"可能用到的链接"中下载
> 百度网盘链接显示提取码错误的话,请检查一下链接是否复制一样?链接中不应有中文哦 第一课,已经学完了。 涨知识。 曾经的最爱,曾经的梦想,最后成了路人 抢个沙发,做个记号,慢慢学习 看不懂 以后学习 学习了, 谢谢@Thanks! 感谢分享,链接失效了,麻烦补下 学习了,谢谢 感谢分享,收藏学习 收藏学习 学习一下,感谢楼主。
感谢分享,收藏学习