手脱Krypton 0.2 -> Yado/Lockless的壳(代码修复IAT)
本帖最后由 evilangel 于 2009-7-3 23:58 编辑看了一篇对IAT加密处理的文章,学习到达OEP后修复IAT,练下手,如果有误,还请指教。
试炼壳是Krypton The Krypter 这个原程序
一、查壳:
PEiD查壳显示:
Krypton 0.2 -> Yado/Lockless
二、到达OEP
首先OD载入,忽略所有异常,停在
00434000 >8B0C24 mov ecx, ;
kernel32.7C817027
00434003 E9 0A7C0100 jmp 0044BC12
00434008 AD lods dword ptr
00434009 42 inc edx
0043400A 40 inc eax
0043400B BD BE9D7A04 mov ebp, 47A9DBE
打开内存(alt+m),在
Memory map, 条目 19
地址=0041F000
大小=00015000 (86016.)
属主=KRYPTON00400000
区段=YADO
包含=资源
类型=Imag 01001002
访问=R
初始访问=RWE
F2下断,F9运行
7C932315 66:8B50 0C mov dx,
7C932319 66:8955 B4 mov , dx
7C93231D 8D70 10 lea esi,
7C932320 8975 94 mov , esi
7C932323 8B55 0C mov edx,
7C932326 66:F742 02 FFFF test word ptr , 0FFFF
7C93232C 75 11 jnz short 7C93233F
接着打开内存,在
Memory map, 条目 20
地址=00401000
大小=00002000 (8192.)
属主=KRYPTON00400000
区段=YADO
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
F2下断,F9运行
003A3A39 66:8138 FF15 cmp word ptr , 15FF ; //来到这
儿
003A3A3E 75 09 jnz short 003A3A49
003A3A40 8378 02 00 cmp dword ptr , 0
003A3A44 75 03 jnz short 003A3A49
003A3A46 8958 02 mov , ebx
003A3A49 40 inc eax
003A3A4A 49 dec ecx
003A3A4B 85C9 test ecx, ecx
003A3A4D^ 75 EA jnz short 003A3A39
003A3A4F 8B8D AFBB4100 mov ecx,
003A3A55 890C24 mov , ecx
003A3A58 8B95 B6BB4100 mov edx, ;
KRYPTON.00401000
003A3A5E FFE2 jmp edx ; //上面把
OEP的地址给edx,然后跳向OEP
到达OEP看看,MASM32 / TASM32编写的
00401000 6A 00 push 0 ; //OEP
00401002 E8 C1100000 call 004020C8 ; //ENTER回
车跟入
00401007 A3 583B4000 mov , eax
0040100C 6A 00 push 0
0040100E 68 29104000 push 00401029
00401013 6A 00 push 0
00401015 6A 67 push 67
00401017 FF35 583B4000 push dword ptr
0040101D E8 DC100000 call 004020FE
00401022 6A 00 push 0
00401024 E8 45100000 call 0040206E
三、分析IAT加密方式
在00401002 E8 C1100000 call 004020C8 这一行回车后可以看到
0040206E- FF25 C8D04100 jmp ; //可以看
到被加密了
00402074- FF25 CCD04100 jmp
0040207A- FF25 D0D04100 jmp
00402080- FF25 D4D04100 jmp
00402086- FF25 D8D04100 jmp
0040208C- FF25 DCD04100 jmp
00402092- FF25 E0D04100 jmp
00402098- FF25 E4D04100 jmp
0040209E- FF25 E8D04100 jmp
004020A4- FF25 ECD04100 jmp
004020AA- FF25 F0D04100 jmp
004020B0- FF25 F4D04100 jmp
004020B6- FF25 F8D04100 jmp
004020BC- FF25 FCD04100 jmp
004020C2- FF25 00D14100 jmp
004020C8- FF25 04D14100 jmp ; //enter到
这行
004020CE- FF25 0CD14100 jmp
004020D4- FF25 10D14100 jmp
004020DA- FF25 14D14100 jmp
004020E0- FF25 18D14100 jmp
004020E6- FF25 1CD14100 jmp
004020EC- FF25 20D14100 jmp
004020F2- FF25 24D14100 jmp
004020F8- FF25 28D14100 jmp
004020FE- FF25 2CD14100 jmp
00402104- FF25 30D14100 jmp
0040210A- FF25 38D14100 jmp
在数据窗口可以看到
0041D0C80038001F
0041D0CC0038003E
0041D0D00038005D
0041D0D40038007C
0041D0D80038009B
0041D0DC003800BA
0041D0E0003800D9
0041D0E4003800F8
0041D0E800380117
0041D0EC00380136
0041D0F000380155
0041D0F400380174
0041D0F800380193
0041D0FC003801B2
0041D100003801D1
0041D104003801F0
0041D10800000000
0041D10C0038020F
0041D1100038022E
0041D1140038024D
0041D1180038026C
0041D11C0038028B
0041D120003802AA
0041D124003802C9
0041D128003802E8
0041D12C00380307
0041D13000380326
0041D13400000000
0041D13800380345
0041D13C00000000
通过enter回车进入几个jmp[],可以看到加密方式有两种,
一种是:
00380193 8135 AE013800 D933C233 xor dword ptr , 33C233D9
0038019D A1 AE013800 mov eax,
003801A2 8135 AE013800 D933C233 xor dword ptr , 33C233D9
003801AC FFE0 jmp eax
另一种是:
0038009B 8105 B6003800 A>add dword ptr , 4C6DF1A1
003800A5 A1 B6003800 mov eax,
003800AA 812D B6003800 A>sub dword ptr , 4C6DF1A1
003800B4 FFE0 jmp eax
通过分析,对于这个壳,大概得出结论,如果,xxxxxxxx后面的立即数大于40000000的话,就
进行add运算,否则就运行xor运算,也可以通过的值来判断,这个就不说了。
四、写代码,修复IAT,脱壳
下面找个空白的地方写代码,我找到的是0040236B
0040263B B8 C8D04100 mov eax, 0041D0C8 ; //加密IAT起始地址给
eax
00402640 8B10 mov edx, ; //eax存放的地址给edx
00402642 83FA 00 cmp edx, 0 ; //判断是否为零
00402645 74 18 je short 0040265F ; //为零的话只想下一个
eax
00402647 83C2 02 add edx, 2 ; //edx+2,到指向[]中的
地址的地方
0040264A 8B0A mov ecx, ; //将这个地址给ecx
0040264C 8B09 mov ecx, ; //该地址存放的值给ecx
0040264E 83C2 04 add edx, 4 ; //edx+4,得到只想立即
数的地址
00402651 8B12 mov edx, ; //立即数给edx本身
00402653 81FA 00000040 cmp edx, 40000000 ; //判断立即数是否大于
40000000
00402659 77 10 ja short 0040266B ; //大于则执行相加
0040265B 33CA xor ecx, edx ; //否着执行xor运算
0040265D 8908 mov , ecx ; //然后把值存放到
中
0040265F 83C0 04 add eax, 4 ; //eax+4
00402662 3D 3CD14100 cmp eax, 0041D13C ; //比较是否到达IAT终止
地址
00402667^ 72 D7 jb short 00402640 ; //不是的话继续执行
00402669 90 nop
0040266A 90 nop
0040266B 03CA add ecx, edx ; //执行add运算
0040266D^ EB EE jmp short 0040265D ; //跳回执行存放函数地
址到中
二进制代码
B8 C8 D0 41 00 8B 10 83 FA 00 74 18 83 C2 02 8B 0A 8B 09 83 C2 04 8B 12 81 FA 00 00 00 40 77
10
33 CA 89 08 83 C0 04 3D 3C D1 41 00 72 D7 90 90 03 CA EB EE
在0040263B这行右键---新建EIP,然后在00402669这行F2下断,F9运行,这样IAT都处理完毕
修复后的数据窗口可以看到
0041D0C87C81CAC2kernel32.ExitProcess
0041D0CC7C8092F1kernel32.GetTickCount
0041D0D07C810BDEkernel32.SetFilePointer
0041D0D47C801812kernel32.ReadFile
0041D0D87C82869Ekernel32.CopyFileA
0041D0DC7C810AC7kernel32.GetFileSize
0041D0E07C80236Bkernel32.CreateProcessA
0041D0E47C809B97kernel32.CloseHandle
0041D0E87C812F6Dkernel32.GetCommandLineA
0041D0EC7C832026kernel32.SetEndOfFile
0041D0F07C801A28kernel32.CreateFileA
0041D0F47C835E6Fkernel32.MoveFileA
0041D0F87C809AA1kernel32.VirtualAlloc
0041D0FC7C809B34kernel32.VirtualFree
0041D1007C810DD7kernel32.WriteFile
0041D1047C80B6F1kernel32.GetModuleHandleA
0041D10800000000
0041D10C77D2F3B7USER32.SendMessageA
0041D11077D211F1USER32.PostQuitMessage
0041D11477D1DBD4USER32.MoveWindow
0041D11877D50702USER32.MessageBoxA
0041D11C77D21304USER32.LoadIconA
0041D12077D1B6C4USER32.GetWindowRect
0041D12477D247FEUSER32.GetDlgItem
0041D12877D1E5D2USER32.GetDesktopWindow
0041D12C77D3B12CUSER32.DialogBoxParamA
0041D13077D2F55BUSER32.SetWindowTextA
0041D13400000000
0041D1387632311ECOMDLG32.GetOpenFileNameA
0041D13C00000000
再回到OEP--->00401000,右键---新建EIP,然后就可以脱壳了,ImpREC修复时全部有效。
PEiD查得:MASM32 / TASM32
evilangel
2009-7-3 23:39 不错。 {:299_842:}
膜拜 果然很强大~~~~~~~
下载附件学习中 强啊!学习 学习了,谢谢分享....... 占位学习 学习了!!!! 果然强!!!再次学习了:) 学习下,好文章