hyperchem 发表于 2009-3-9 17:30

ZProtect加壳程序脱壳笔记

之前写了一个ZP的IAT加密方式分析,这里继续接着前面的文章,写一个ZProtect 加壳的程序的完整脱壳笔记。
目标程序是一个用ZP二次加密的程序,可能是某位大侠的作品,小弟这里只是随手拿来做个演示,有什么冒犯之处,敬请见谅。 目标程序在附件中。
运行一下程序,程序提示只能运行三次,每次只能运行十分钟,看来这个是要先干掉这个对话框再说了~
写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大的代码。
把这个lpk放在软件目录下就没有注册框了。现在可以OD载入了~

1,到OEP去
上次我的分析里面说了,如何最快到达OEP的方式 就是用ESP定律。
过了pushad以后,下Hr ESP 然后就到了。
查找FF25 发现壳没有处理IAT调用的代码,只是对IAT进行了加密,看来这个应该是1.4.0-1.4.4之间的某个版本。
2,修复IAT
通过查找FF25 很容易确定IAT的位置。 005A319000641378店铺宝贝.00641378
005A319400641798店铺宝贝.00641798
005A319800641B10店铺宝贝.00641B10
005A319C00E30000
005A31A000E3000E
005A31A400641048店铺宝贝.00641048
005A31A8006411E0店铺宝贝.006411E0下面是一部分IAT,可以看出IAT的处理方式有两种。修复的时候也要分两种情况进行修复。
根据我上篇的分析文章的结论,两种加密方式最后是殊途同归的:
push 提取码
调用获取函数序号的call
按照隐藏的IAT基址+序号的方式来寻址。
下面看看两种不同方式的提取码和call的调用方式。
方式一00406A54- FF25 64325A00   jmp dword ptr ds: ds:=00E30142 00E30142    50            push eax
00E30143    60            pushad
00E30144    68 7695B4AD   push ADB49576
00E30149    E8 310DE7FF   call 00CA0E7F
00CA0E7F    A1 7448CA00   mov eax,dword ptr ds:
00CA0E84    8078 0C 00      cmp byte ptr ds:,0
00CA0E88    74 57         je short 00CA0EE1
00CA0E8A    FF15 2810C900   call dword ptr ds:               ; kernel32.GetTickCount
00CA0E90    8BC8            mov ecx,eax
00CA0E92    2B0D 4046CA00   sub ecx,dword ptr ds:
00CA0E98    81F9 88130000   cmp ecx,1388
00CA0E9E    76 41         jbe short 00CA0EE1
00CA0EA0    FF35 4446CA00   push dword ptr ds:
00CA0EA6    A3 4046CA00   mov dword ptr ds:,eax
00CA0EAB    FF15 5810C900   call dword ptr ds:               ; kernel32.ResumeThread
00CA0EB1    833D 944ECA00 0>cmp dword ptr ds:,3
00CA0EB8    7C 08         jl short 00CA0EC2
00CA0EBA    6A 00         push 0
00CA0EBC    FF15 1C10C900   call dword ptr ds:               ; kernel32.ExitProcess
00CA0EC2    803D B848CA00 0>cmp byte ptr ds:,0
00CA0EC9    74 08         je short 00CA0ED3
00CA0ECB    FF05 944ECA00   inc dword ptr ds:
00CA0ED1    EB 07         jmp short 00CA0EDA
00CA0ED3    8325 944ECA00 0>and dword ptr ds:,0
00CA0EDA    C605 B848CA00 0>mov byte ptr ds:,1
00CA0EE1    56            push esi
00CA0EE2    57            push edi
00CA0EE3    FF7424 0C       push dword ptr ss:
00CA0EE7    FF15 5C46CA00   call dword ptr ds:
00CA0EED    8BF8            mov edi,eax
00CA0EEF    BE 644ECA00   mov esi,0CA4E64
00CA0EF4    E8 6941FFFF   call 00C95062
00CA0EF9    8B00            mov eax,dword ptr ds:
00CA0EFB    5F            pop edi
00CA0EFC    894424 2C       mov dword ptr ss:,eax
00CA0F00    5E            pop esi
00CA0F01    C2 0400         retn 4
00E3014E    61            popad
00E3014F    C3            retn方式二 00406A64   /FF25 5C325A00   jmp dword ptr ds:    ds:=00641A44 (店铺宝贝.00641A44)00641A44 68 6B95B4AD push ADB4956B-----------------------这个就是提取码了~
00641A49 /E9 5E070000 jmp 店铺宝贝.006421AC
006421AC - E9 17F26500 jmp 00CA13C8
00CA13C8 60 pushad
00CA13C9 FF7424 20 push dword ptr ss:
00CA13CD E8 ADFAFFFF call 00CA0E7F
00CA0E7F A1 7448CA00 mov eax,dword ptr ds:
00CA0E84 8078 0C 00 cmp byte ptr ds:,0
00CA0E88 74 57 je short 00CA0EE1
00CA0E8A FF15 2810C900 call dword ptr ds: ; kernel32.GetTickCount
00CA0E90 8BC8 mov ecx,eax
00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:
00CA0E98 81F9 88130000 cmp ecx,1388
00CA0E9E 76 41 jbe short 00CA0EE1
00CA0EA0 FF35 4446CA00 push dword ptr ds:
00CA0EA6 A3 4046CA00 mov dword ptr ds:,eax
00CA0EAB FF15 5810C900 call dword ptr ds: ; kernel32.ResumeThread
00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:,3
00CA0EB8 7C 08 jl short 00CA0EC2
00CA0EBA 6A 00 push 0
00CA0EBC FF15 1C10C900 call dword ptr ds: ; kernel32.ExitProcess
00CA0EC2 803D B848CA00 0>cmp byte ptr ds:,0
00CA0EC9 74 08 je short 00CA0ED3
00CA0ECB FF05 944ECA00 inc dword ptr ds:
00CA0ED1 EB 07 jmp short 00CA0EDA
00CA0ED3 8325 944ECA00 0>and dword ptr ds:,0
00CA0EDA C605 B848CA00 0>mov byte ptr ds:,1
00CA0EE1 56 push esi
00CA0EE2 57 push edi
00CA0EE3 FF7424 0C push dword ptr ss:----------这里就是push提取码
00CA0EE7 FF15 5C46CA00 call dword ptr ds:---------这个call就是获取函数的序号的
00CA0EED 8BF8 mov edi,eax
00CA0EEF BE 644ECA00 mov esi,0CA4E64
00CA0EF4 E8 6941FFFF call 00C95062----------------------这个call就是通过序号和基址获取API地址的
00CA0EF9 8B00 mov eax,dword ptr ds:---------这里就是真实的API地址
00CA0EFB 5F pop edi
00CA0EFC 894424 2C mov dword ptr ss:,eax
00CA0F00 5E pop esi
00CA0F01 C2 0400 retn 4
00CA13D2 61 popad
00CA13D3 C3 retn从上面可以看出来,两种方式最后调用的是同一子程序。这样两种方式除了获取提取码的过程稍微不同以外,其他都是一样的。
了解清楚了,下面就可以自己写代码来修复IAT了。下面是我自己写的一段patch代码,给大家参考一下。 0059BAFE    B8 14134000                     mov eax,店铺宝贝.00401314-----通过查找FF25,确定的第一个IAT调用所在的位置。
0059BB03    8038 FF                         cmp byte ptr ds:,0FF-----按字节寻找FF 25
0059BB06    75 3E                           jnz short 店铺宝贝.0059BB46
0059BB08    8078 01 25                      cmp byte ptr ds:,25
0059BB0C    75 38                           jnz short 店铺宝贝.0059BB46
0059BB0E    66:8378 04 5A                   cmp word ptr ds:,5A----这里是为了防止查找错误而设置的,其中5A是IAT所在的位置
0059BB13    75 31                           jnz short 店铺宝贝.0059BB46
0059BB15    8B58 02                         mov ebx,dword ptr ds:---传递该处调用的IAT指针
0059BB18    833B 00                         cmp dword ptr ds:,0-------比较IAT中的地址是否为0
0059BB1B    74 29                           je short 店铺宝贝.0059BB46
0059BB1D    8B0B                            mov ecx,dword ptr ds:
0059BB1F    66:8139 5060                  cmp word ptr ds:,6050-----判断是不是加密方式1.
0059BB24    74 2E                           je short 店铺宝贝.0059BB54
0059BB26    8039 68                         cmp byte ptr ds:,68-------处理加密方式2,如果是的话,为保险起见,判断下一个指令是不是push
0059BB29    75 1B                           jnz short 店铺宝贝.0059BB46
==============================================================================
0059BB2B    50                              push eax
0059BB2C    FF71 01                         push dword ptr ds:
0059BB2F    FF15 5C46CA00                   call dword ptr ds:
0059BB35    8BF8                            mov edi,eax
0059BB37    BE 644ECA00                     mov esi,0CA4E64               这部分就是调用壳的IAT解码函数获取真正的API地址,应用到其他程序时,请自行修改
0059BB3C    E8 21956F00                     call 00C95062
0059BB41    8B10                            mov edx,dword ptr ds:
0059BB43    8913                            mov dword ptr ds:,edx------修复IAT
0059BB45    58                              pop eax
==============================================================================
0059BB46    83C0 01                         add eax,1----------------------继续查找
0059BB49    3D 00005900                     cmp eax,店铺宝贝.00590000-------这个值是IAT调用查找的上限,请自行修改
0059BB4E^ 72 B3                           jb short 店铺宝贝.0059BB03
0059BB50    EB 10                           jmp short 店铺宝贝.0059BB62 -------执行到这里就表示完成了
0059BB52    90                              nop
0059BB53    90                              nop
0059BB54    8079 02 68                      cmp byte ptr ds:,68----这里就是处理方式1的部分
0059BB58^ 75 EC                           jnz short 店铺宝贝.0059BB46
0059BB5A    50                              push eax
0059BB5B    FF71 03                         push dword ptr ds:
0059BB5E^ EB CF                           jmp short 店铺宝贝.0059BB2F
0059BB60    0000                            add byte ptr ds:,al
0059BB62    6A 00                           push 0
0059BB64    68 75BB5900                     push 店铺宝贝.0059BB75                     ; ASCII "Finish"
0059BB69    68 75BB5900                     push 店铺宝贝.0059BB75                     ; ASCII "Finish"
0059BB6E    6A 00                           push 0
0059BB70    E8 754C7B77                     call user32.MessageBoxA----调用MessageBoxa 显示一个完成对话框。
0059BB75    46                              inc esi
0059BB76    696E 69 73680000                imul ebp,dword ptr ds:,6873
0059BB7D    90                              nop
0059BB7E^ E9 0DFFFFFF                     jmp 店铺宝贝.0059BA90 二进制
00 CC B8 14 13 40 00 80 38 FF 75 3E 80 78 01 25 75 38 66 83 78 04 5A 75 31 8B 58 02 83 3B 00 74
29 8B 0B 66 81 39 50 60 74 2E 80 39 68 75 1B 50 FF 71 01 FF 15 5C 46 CA 00 8B F8 BE 64 4E CA 00
E8 21 95 6F 00 8B 10 89 13 58 83 C0 01 3D 00 00 59 00 72 B3 EB 10 90 90 80 79 02 68 75 EC 50 FF
71 03 EB CF 00 00 6A 00 68 75 BB 59 00 68 75 BB 59 00 6A 00 E8 75 4C 7B 77 46 69 6E 69 73 68 00
00 90 E9 0D FF FF FF3,dump程序。
IAT修复完了,因为是二次加密,应该也没有SDK什么的。直接dump程序。然后修复。
可是程序不能运行。
问题出在哪里呢?
调试跟踪一下,问题处在下面这里00422872 8B45 FC mov eax,dword ptr ss:
00422875 50 push eax
00422876 56 push esi
00422877 E8 A446FEFF call
0042287C 8BF8 mov edi,eax原来是程序查找资源找不到。
用LordPE打开看一下,点击打开资源表,LordPE直接down掉。看来果然是资源表出了问题。
想一下,为什么加壳的程序能找到资源,脱壳的程序就找不到了呢?
思来想去,终于想通了:
原来,我们之前脱壳抓取镜像的时候,使用的从磁盘文件(加壳文件)贴过来的PE头,而对于加壳文件来说,资源表是被修改了的。当然会出错了。
知道了这些,就好办了,取消勾选“从磁盘文件粘贴PE头”,然后重新dump程序。
再用ImportREC修复就OK了!!
总结:
1,分析明白IAT的加密方式以后,就可以自己写patch代码修复IAT。
2,ZProtect会对PE头做比较大的手脚,修复的时候要注意。

2009.03.09 HyperChem

Hmily 发表于 2009-3-9 17:50

活学活用不错,关于ZP注册方面的调试,可以试试调试新版加出来的试炼品,代码不那么乱,很容易就知道怎么过它的注册~

ximo 发表于 2009-3-9 17:56

我记得ZP的IAT加密有3种方式,怎么只有1种?

wgz001 发表于 2009-3-9 19:59

学习了   
顺便膜拜下牛人
:loveliness:

cokago 发表于 2009-3-9 20:13

学习了,顺便赞牛人

hyperchem 发表于 2009-3-9 21:12

3# ximo
我那个里面已经修复了两种,兄弟仔细看下哦~
IAT的第三种加密方式只针对GetModuleHandleA这个函数~

ximo 发表于 2009-3-9 21:21

3# ximo
我那个里面已经修复了两种,兄弟仔细看下哦~
IAT的第三种加密方式只针对GetModuleHandleA这个函数~
hyperchem 发表于 2009-3-9 21:12 http://www.52pojie.cn/images/common/back.gif

汗,的确。刚才在公司粗略看了下,忽略了。呵呵。

孤独王子 发表于 2009-3-19 08:44

强    二次加密确实不好搞

asf123456789 发表于 2009-3-19 15:04

学习了,顺便赞牛人

super-man 发表于 2009-3-20 13:29

恩,比我强
页: [1] 2 3 4 5 6
查看完整版本: ZProtect加壳程序脱壳笔记