Hmily 发表于 2008-5-27 23:23

简析AutoIt程序脱壳后的自校验处理[转自UnPack.Cn]

软件大小: 1739 KB
软件语言: 英文
软件类别: 国外软件 / 免费版 / 系统增强
应用平台: Win9x/NT/2000/XP
加入时间: 2005-02-13 15:41:45
下载次数: 5596
开 发 商: http://www.hiddensoft.com/AutoIt/index.html
软件介绍: 允许您使用宏来自动执行一些操作,可以将宏编译成 EXE 来运行。

【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教
      
【调试环境】:WinXP、OllyDBD、PEiD、LordPE、WinHex
      
—————————————————————————————————
【调试过程】:


http://www.hiddensoft.com/images/autoit_6_240x100.jpg
AutoIt是一款功能强大的程序。下面来简单分析一下AutoIt程序脱壳后的自校验处理。
—————————————————————————————————
一、如何确定是AutoIt编译的文件


先下载AutoIt主程序,用其自带的Examples文件编译一个例子。 复制内容到剪贴板 代码:
;Test AutoIt CRC

; AutoIt Version: 3.10
; Language:    English
; Platform:    WinALL
; Author:   fly

; Use the @CRLF macro to do a newline in a MsgBox - it is similar to the \n in v2.64
MsgBox(0, "Test AutoIt CRC", "       fly" & @CRLF & "http://www.unpack.cn" & @CRLF & "    2006.02.25")使用Aut2Exe.exe编译Test.AutoIt.CRC.au3脚本,得到Test.AutoIt.CRC.exe

1、AutoIt 目前使用UPX V1.25压缩,脚本数据以Overlay保存
PEiD V0.94显示如下:
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/PEiD.gif
用WinHex打开Test.AutoIt.CRC.exe,可以看到UPX版本:
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/UPX.V1.25.gif

2、在WinHex里面搜索ASCII文本字符串:AutoIt
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/AutoIt.gif
找到“<description>AutoIt 3</description>”字样
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/AutoIt.3.gif

基本可以确定是AutoIt编译的文件了


—————————————————————————————————
二、脱壳


UPX用UPX相应版本自脱是最完美的
使用UPX V1.25 -d对Test.AutoIt.CRC.exe脱壳,附加数据自动保留下来
也可以用UPX-Ripper脱壳
如果手动脱壳的话,则需要手工处理Overlay
脱壳文件重命名为:UnPacKed.exe


—————————————————————————————————
三、附加数据


由于脚本数据以Overlay保存在程序中,所以先说一下如何简单识别附加数据吧。
1、看上面的图片,PEiD侦壳时已经显示“”字样
2、用LordPE打开Test.AutoIt.CRC.exe的区段,可以看到最后一个区段的信息:
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/Sections.gif 复制内容到剪贴板 代码:
RawOffset=0001B800
RawSize=00007200
0001B800+00007200=22A00最后一个区段数据至0X229FF处为止。
如果偏移0X22A00处及其后还有数据,就是Overlay了
3、可以用LordPE来快速确定Overlay
在最后区段上点右键->Hex Edit Secton,向下拉动滚动条察看
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/Hex.Edit.Secton.gif
一直拉到“黑白”交界处,0X22A00下面就是附加数据了。


—————————————————————————————————
四、分析校验


如果现在运行脱壳文件,会提示错误的
http://www.unpack.cn/UnPacK/Tutorial/AutoIt/Error.gif
那么开始调试吧。用OllyDBG载入Test.AutoIt.CRC.exe原版 复制内容到剪贴板 代码:
00459160   60         pushad
//暂停在UPX外壳入口
00459161   BE 00E04300    mov esi,43E000
00459166   8DBE 0030FCFF   lea edi,dword ptr ds:
0045916C   57         push edi
0045916D   83CD FF      or ebp,FFFFFFFF
00459170   EB 10       jmp short 00459182不必管UPX
BP SetFilePointer
F9运行,中断后取消断点 复制内容到剪贴板 代码:
0011EB100042C552 /CALL 到 SetFilePointer 来自 Test_Aut.0042C54C
0011EB14000000D8 |hFile = 000000D8 (window)
0011EB18FFFFFFF4 |OffsetLo = FFFFFFF4 (-12.)
0011EB1C00000000 |pOffsetHi = NULL
0011EB2000000002 \Origin = FILE_END文件指针移动至文件末尾,从末尾再向上移动12字节

再BP ReadFile,中断后取消断点 复制内容到剪贴板 代码:
0011EACC0042C98E /CALL 到 ReadFile 来自 Test_Aut.0042C988
0011EAD0000000D8 |hFile = 000000D8 (window)
0011EAD4003F9D28 |Buffer = 003F9D28
0011EAD800001000 |BytesToRead = 1000 (4096.)
0011EADC0011EAF0 |pBytesRead = 0011EAF0
0011EAE000000000 \pOverlapped = NULL数据窗口中定位到003F9D28处,Ctrl+F9执行完ReadFile 复制内容到剪贴板 代码:
003F9D28 22 87 A8 AA AA 80 A8 AA 3C FC 95 58可以看到003F9D28处是读取的12个字节数据

用WinHex打开Test.AutoIt.CRC.exe,到末尾看看 复制内容到剪贴板 代码:
Offset   0 1 2 3 4 5 6 78 9 A B C D E F
00022D80            22 87 A8 AA AA 80 A8 AA
00022D903C FC 95 58正是这些数据。

这些数据有何用处?呵呵,3个Dword数据就是AutoIt需要校验的三个值了

抓住这个线索吧
数据窗口003F9D28处选择这12个字节,点击右键->断点->内存访问
F9运行,中断在0042C88F 复制内容到剪贴板 代码:
0042C88B   0FB601       movzx eax,byte ptr ds:
0042C88E   41         inc ecx
0042C88F   890E      mov dword ptr ds:,ecx
0042C891   5E         pop esi
0042C892   C3         retn
//返回00429747

00429742   E8 86300000    call 0042C7CD
00429747   83F8 FF      cmp eax,-1
0042974A   59         pop ecx
0042974B   74 28       je short 00429775
0042974D   8803      mov byte ptr ds:,al
//EBX=0012ECAD每个处理取4个字节至
0042974F   8B46 18      mov eax,dword ptr ds:
00429752   43         inc ebx
00429753   FF4D 08      dec dword ptr ss:
00429756   8945 14      mov dword ptr ss:,eax
00429759   837D 08 00   cmp dword ptr ss:,0
0042975D   0F85 76FFFFFF   jnz 004296D9
00429763   8B45 10      mov eax,dword ptr ss:
00429766   5F         pop edi
00429767   5E         pop esi
00429768   5B         pop ebx
00429769   C9         leave
0042976A   C3         retn取消内存断点,在数据窗口定位至0012ECAD处,选择那4个字节,右键->断点->内存写入
F9运行,中断在00427F07处 复制内容到剪贴板 代码:
00427EFD   FF36      push dword ptr ds:
00427EFF   8D5E 04      lea ebx,dword ptr ds:
00427F02   BF AAAAAAAA    mov edi,AAAAAAAA
00427F07   317D F8      xor dword ptr ss:,edi
//=AAA88722 XOR AAAAAAAA=00022D88
//第一个校验值
//这个是计算CRC的代码长度
//可以记住0X00022D88处数据,然后在脱壳文件中搜索,就可以得到新的长度=00043B88取消内存断点,下面就是其他2组校验值的处理了 复制内容到剪贴板 代码:
00427F0A   6A 01       push 1
00427F0C   6A 04       push 4
00427F0E   53         push ebx
00427F0F   E8 56170000    call 0042966A
00427F14   FF36      push dword ptr ds:
00427F16   313B      xor dword ptr ds:,edi
//==AAA880AA XOR AAAAAAAA=00022A00
//第二个校验值
//WinHex中去偏移00022A00处看看,发现是附加数据开始的地址复制内容到剪贴板 代码:
00427F18   8D45 F0      lea eax,dword ptr ss:
00427F1B   6A 01       push 1
00427F1D   6A 04       push 4
00427F1F   50         push eax
00427F20   E8 45170000    call 0042966A
00427F25   317D F0      xor dword ptr ss:,edi
//==5895FC3C XOR AAAAAAAA=F23F5696
//第三个校验值
//这个运算后的值是文件校验值复制内容到剪贴板 代码:
00427F28   33FF      xor edi,edi
00427F2A   57         push edi
00427F2B   57         push edi
00427F2C   FF36      push dword ptr ds:
00427F2E   E8 3A160000    call 0042956D
00427F33   8B45 F8      mov eax,dword ptr ss:
00427F36   83C4 48      add esp,48
00427F39   85C0      test eax,eax
00427F3B   7E 4A       jle short 00427F87
00427F3D   8D8F 00000100   lea ecx,dword ptr ds:
00427F43   3BC8      cmp ecx,eax
00427F45   7E 07       jle short 00427F4E
00427F47   2BC7      sub eax,edi
00427F49   8945 0C      mov dword ptr ss:,eax
00427F4C   EB 07       jmp short 00427F55
00427F4E   C745 0C 00000100mov dword ptr ss:,10000
00427F55   FF36      push dword ptr ds:
00427F57   037D 0C      add edi,dword ptr ss:
00427F5A   8D85 E4FEFEFF   lea eax,dword ptr ss:
00427F60   FF75 0C      push dword ptr ss:
00427F63   6A 01       push 1
00427F65   50         push eax
00427F66   E8 FF160000    call 0042966A
00427F6B   83C4 10      add esp,10
00427F6E   8D85 E4FEFEFF   lea eax,dword ptr ss:
00427F74   8D4D EC      lea ecx,dword ptr ss:
00427F77   FF75 0C      push dword ptr ss:
00427F7A   50         push eax
00427F7B   E8 25060000    call 004285A5
//计算校验值
00427F80   8B45 F8      mov eax,dword ptr ss:
00427F83   3BF8      cmp edi,eax
//EAX=计算CRC的代码长度
00427F85   7C B6       jl short 00427F3D
00427F87   8B45 F0      mov eax,dword ptr ss:
00427F8A   3B45 EC      cmp eax,dword ptr ss:
//中是计算出的校验值   比较校验值
00427F8D   74 05       je short 00427F94
//不跳就挂了
00427F8F   6A 03       push 3
00427F91   5F         pop edi
00427F92   EB 45       jmp short 00427FD9—————————————————————————————————
五、修复校验


分析清楚了
AutoIt取Overlay的最后12个字节异或AAAAAAAA得到校验值或者数据地址 复制内容到剪贴板 代码:
1、第一个校验数据 XOR AAAAAAAA=计算CRC的代码长度
2、第二个校验数据 XOR AAAAAAAA=附加数据开始的地址
3、第三个校验数据 XOR AAAAAAAA=文件校验值看看我们用UPX对Test.AutoIt.CRC.exe脱壳得到的UnPacKed.exe文件信息: 复制内容到剪贴板 代码:
1、计算CRC的代码长度=00043B88
2、附加数据开始的地址=00043800
3、文件校验值=需要跟踪->F928C0C3修复校验: 复制内容到剪贴板 代码:
1、第一个校验数据=00043B88 XOR AAAAAAAA=AAAE9122
2、第二个校验数据=00043800 XOR AAAAAAAA=AAAE92AA在UnPacKed.exe的校验数据开始的地址处修正这2个值,再看文件校验
载入UnPacKed.exe调试,BP 00427F8A,运行、中断,==F928C0C3 复制内容到剪贴板 代码:
3、第三个校验数据=F928C0C3 XOR AAAAAAAA=53826A69当然,第三个校验可以修改00427F8D jmp 00427F94直接去除,但是不推荐这样做 复制内容到剪贴板 代码:
Offset   0 1 2 3 4 5 6 78 9 A B C D E F
00043B80            22 91 AE AA AA 92 AE AA
00043B9069 6A 82 53 http://www.unpack.cn/UnPacK/Tutorial/AutoIt/UnPacKed.Fixed.gif
修正这12个字节后,脱壳文件就可以正常运行了。


—————————————————————————————————
六、例子演示


论坛有个SW.exe也是AutoIt编译的文件
用UPX-Ripper脱壳得到SW.UnPacKed.exe
载入SW.exe原版调试 复制内容到剪贴板 代码:

00476760   60         pushad
//暂停在UPX外壳入口
00476761   BE 00E04400    mov esi,44E000
00476766   8DBE 0030FBFF   lea edi,dword ptr ds:
0047676C   57         push edi
0047676D   83CD FF      or ebp,FFFFFFFF
00476770   EB 10       jmp short 00476782

004768CB   61         popad
004768CC   E9 17A9FCFF    jmp 004411E8
//F4 到这里复制内容到剪贴板 代码:
004411E8   55         push ebp
//OEP
004411E9   8BEC      mov ebp,esp
004411EB   6A FF       push -1
004411ED   68 28E44400    push 44E428
004411F2   68 50254400    push 442550
004411F7   64:A1 00000000   mov eax,dword ptr fs:
004411FD   50         push eax
004411FE   64:8925 00000000mov dword ptr fs:,esp
00441205   83EC 58      sub esp,58
00441208   53         push ebx
00441209   56         push esi
0044120A   57         push edi
0044120B   8965 E8      mov dword ptr ss:,esp
0044120E   FF15 A4D94600   call dword ptr ds: ; kernel32.GetVersion正常的分析途径如上面所操作的。不过这里用个简便的方法来到检验值处理的地方
Ctrl+F 在整个段块搜索命令:mov edi,0AAAAAAAA
找到0043D50A处,下断,F9运行后中断 复制内容到剪贴板 代码:
0043D50A   BF AAAAAAAA    mov edi,AAAAAAAA
0043D50F   317D FC      xor dword ptr ss:,edi
//==AAA81120 XOR AAAAAAAA=0002BB8A
//第一个校验值
//计算CRC的代码长度
//看看0X0002BB8A处数据,然后去SW.UnPacKed.exe里搜索,得到新的长度=0005F58A
0043D512   6A 01       push 1
0043D514   6A 04       push 4
0043D516   53         push ebx
0043D517   E8 55230000    call 0043F871
0043D51C   FF36      push dword ptr ds:
0043D51E   313B      xor dword ptr ds:,edi
//==AAA80CAA XOR AAAAAAAA=0002A600
//第二个校验值
//附加数据开始的地址,UnPacKed.exe里的附加数据开始地址=0005E000
0043D520   8D45 F4      lea eax,dword ptr ss:
0043D523   6A 01       push 1
0043D525   6A 04       push 4
0043D527   50         push eax
0043D528   E8 44230000    call 0043F871
0043D52D   317D F4      xor dword ptr ss:,edi
//==5BC7EF2F XOR AAAAAAAA=F16D4585
//第三个校验值
//这个运算后的值是文件校验值
0043D530   33FF      xor edi,edi
0043D532   57         push edi
0043D533   57         push edi
0043D534   FF36      push dword ptr ds:
0043D536   E8 39220000    call 0043F774
0043D53B   8B45 FC      mov eax,dword ptr ss:
0043D53E   83C4 48      add esp,48
0043D541   85C0      test eax,eax
0043D543   7E 4A       jle short 0043D58F
0043D545   8D8F 00000100   lea ecx,dword ptr ds:
0043D54B   3BC8      cmp ecx,eax
0043D54D   7E 07       jle short 0043D556
0043D54F   2BC7      sub eax,edi
0043D551   8945 0C      mov dword ptr ss:,eax
0043D554   EB 07       jmp short 0043D55D
0043D556   C745 0C 00000100mov dword ptr ss:,10000
0043D55D   FF36      push dword ptr ds:
0043D55F   037D 0C      add edi,dword ptr ss:
0043D562   8D85 E8FEFEFF   lea eax,dword ptr ss:
0043D568   FF75 0C      push dword ptr ss:
0043D56B   6A 01       push 1
0043D56D   50         push eax
0043D56E   E8 FE220000    call 0043F871
0043D573   83C4 10      add esp,10
0043D576   8D85 E8FEFEFF   lea eax,dword ptr ss:
0043D57C   8D4D F0      lea ecx,dword ptr ss:
0043D57F   FF75 0C      push dword ptr ss:
0043D582   50         push eax
0043D583   E8 25060000    call 0043DBAD
0043D588   8B45 FC      mov eax,dword ptr ss:
0043D58B   3BF8      cmp edi,eax
0043D58D   7C B6       jl short 0043D545
0043D58F   8B45 F4      mov eax,dword ptr ss:
0043D592   3B45 F0      cmp eax,dword ptr ss:
//比较校验值
0043D595   74 05       je short 0043D59C
0043D597   6A 03       push 3
0043D599   5F         pop edi
0043D59A   EB 45       jmp short 0043D5E1修复SW.UnPacKed.exe的校验: 复制内容到剪贴板 代码:
1、第一个校验数据=0005F58A XOR AAAAAAAA=AAAF5F20
2、第二个校验数据=0005E000 XOR AAAAAAAA=AAAF4AAA在SW.UnPacKed.exe的校验数据开始的地址处修正这2个值,再看文件校验
载入SW.UnPacKed.exe调试,BP 0043D592,运行、中断,==6C93F7B3 复制内容到剪贴板 代码:
3、第三个校验数据=6C93F7B3 XOR AAAAAAAA=C6395D19再修正最后一个校验值,可以运行了。


Game Over
————————————————————————————————— 复制内容到剪贴板

淫乱一世纪 发表于 2008-5-30 19:35

严重学习,fly太强大了。。

wnn500 发表于 2010-6-19 19:37

看得头晕了。站长能做个自动脱壳软件就好了。要不做个反编译的也行啊
页: [1]
查看完整版本: 简析AutoIt程序脱壳后的自校验处理[转自UnPack.Cn]