吾爱破解脱壳练习----Armadillo 6.04

小生我怕怕 · 发表于 2008-10-17 00:01

一转眼我们的脱壳练习已经第14期啦，在这其中我相信许多的朋友也学习到了东西
必能脱掉此壳
本期考核主题为：Armadillo 6.04
1.脱壳后的文件大家以千脑形式上传,目的是为了便于隐藏文件和节约论坛空间
2.脱壳后的文件,请大家以脱文附带脱壳后程序打包压缩传于千脑网盘
3.对于回帖过程中千万不要出现灌水,否则BAN了ID
4.对于有优秀脱文或优秀脱壳方法的朋友,给于适当威望奖励
5.鉴于此练习是针对论坛的所有人,请大家踊跃参加,如果不是脱了壳教作业的,请不要顶帖子,方便管理查阅,及时给出评分
6.以下为需要设置威望的格式
7.脱壳一以周期计算,(周期=等于二天)
8.脱壳周期一结束,就开始公布答案让大家能有更充分的学习环境,让不懂脱的朋友去寻找你失误的地方争取早日赶上论坛的积极份子
9.我们要的是脱文,并不是脱壳机去脱的,如果用脱机脱了别拿来,请一定附带上脱文
10.我们讲对每次脱壳练习选择一个最好的脱壳分析过程，方便大家学习，每次脱壳练习结束后会说出楼数，对于被选种的朋友，我们会酌情给予CB或者威望进行奖励
11.由于前段时间我们的练习群开放式验证加入，导致群在短短几天爆满，现在已经清除了所有没有参加练习的朋友，以后只要参加我们一次练习就会收到我们的短消息邀请加入
平时我们都是关闭模式
12.本期看点：本期学会合理惯通所学知识，用所学套路进行套用，掌握常见壳的基础知识

本次群内部大整顿,如果出现有误踢的朋友,我在这里说声对不起,请你论坛短消息我,我会把你加回去的

练习一：（结果已经公布）
http://www.52pojie.cn/thread-10496-1-1.html
最佳分析：第10楼unpack

练习二：（结果已经公布）
http://www.52pojie.cn/thread-10607-1-1.html
最佳分析：第9楼lqiulu

练习三：（结果已经公布）
http://www.52pojie.cn/thread-10688-1-1.html
最佳分析：第11楼傻人有傻福

练习四：（结果已经公布）
http://www.52pojie.cn/thread-10850-1-1.html
最佳分析：第11楼维护世界和平

练习五：（结果已经公布）
http://www.52pojie.cn/thread-10990-1-1.html
最佳分析：第3楼维护世界和平

练习六：（结果已经公布）
http://www.52pojie.cn/thread-11112-1-1.html
最佳分析：第12楼ximo

练习七：（结果已经公布）
http://www.52pojie.cn/thread-11244-1-1.html
最佳分析：第14楼傻人有傻福

练习八：(结果已经公布)
http://www.52pojie.cn/thread-11306-1-1.html
最佳分析：第15楼unpack

练习九：(结果已经公布)
http://www.52pojie.cn/thread-11446-1-1.html
最佳分析：第1楼小生我怕怕

练习十：(结果已经公布)
http://www.52pojie.cn/thread-11585-1-1.html
最佳分析：第10楼unpack

练习十一：(结果已经公布)
http://www.52pojie.cn/thread-11747-1-1.html
最佳分析：第9楼unpack

练习十二：(结果已经公布)
http://www.52pojie.cn/thread-11883-1-1.html
最佳分析：第19楼unpack

练习十三：(结果已经公布)
http://www.52pojie.cn/thread-12011-1-1.html
最佳分析：第1楼小生我怕怕

小生我怕怕 · 发表于 2008-10-17 03:44

首先设置忽略所有的异常选项，隐藏好OD，下面开始我们漫长而痛苦的旅途
以下均需要在原版OD中完成
━━━━━━━━━━━━━━━━━━━━━━━━━━

00444000 > $ 60 PUSHAD//OD载入我们停在这里
00444001 . E8 00000000CALL UnPackMe.00444006//在命令行下段： bp OpenMutexA
00444006 $ 5D POP EBP //检查下好段后 shift+f9运行程序
00444007 . 50 PUSH EAX
00444008 . 51 PUSH ECX
00444009 . 0FCA BSWAP EDX
━━━━━━━━━━━━━━━━━━━━━━━━━━
7C80EA1B > 8BFF MOV EDI,EDI //程序停在了这里
7C80EA1D 55 PUSH EBP//此时我们ctrl+b搜索 5D C2 10 00 90 90 90 90 90
7C80EA1E 8BEC MOV EBP,ESP
7C80EA20 51 PUSH ECX
7C80EA21 51 PUSH ECX
7C80EA22 837D 10 00 CMP DWORD PTR SS:[EBP+10],0
7C80EA26 56 PUSH ESI
━━━━━━━━━━━━━━━━━━━━━━━━━━
7C801AE8 5D POP EBP
7C801AE9 C2 1000RETN 10 //我们F2在这个retn处下断
7C801AEC 90 NOP //我们ait+b取消我们下的bp OpenMutexA断点
7C801AED 90 NOP //紧跟着我们shift+f9
7C801AEE 90 NOP
━━━━━━━━━━━━━━━━━━━━━━━━━━
7C801AE9 C2 1000RETN 10 //此时我们的程序停在了这里，同时取消断点
7C801AEC 90 NOP //此时我们ctrl+b搜索 5E C9 C2 18 00
7C801AED 90 NOP
7C801AEE 90 NOP
━━━━━━━━━━━━━━━━━━━━━━━━━━
7C8094B1 5E POP ESI
7C8094B2 C9 LEAVE //我们在此F2下断
7C8094B3 C2 1800RETN 18 //紧跟着shift+f9运行
7C8094B6 FF75 14PUSH DWORD PTR SS:[EBP+14]//程序停下后我们取消断点
7C8094B9 8D45 C0LEA EAX,DWORD PTR SS:[EBP-40] //我们ctrl+b搜索 5D C2 04 00 64 A1 18 00 00 00 8B 40 30
7C8094BC 50 PUSH EAX//切记不要钩选整个段块
━━━━━━━━━━━━━━━━━━━━━━━━━━
7C80B6BB E8 7D2D0000CALL kernel32.GetModuleHandleW//我们此此来到了这里
7C80B6C0 5D POP EBP
7C80B6C1 C2 0400RETN 4//在此F2下断
7C80B6C4 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] //我们shift+f9运行4次
7C80B6CA 8B40 30MOV EAX,DWORD PTR DS:[EAX+30] //我们ait+f9返回到用户代码
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B6A991 8B55 F4MOV EDX,DWORD PTR SS:[EBP-C]//我们返回到了这里
00B6A994 8B0D 3C30BC00MOV ECX,DWORD PTR DS:[BC303C] //我们开始搜索magic jump
00B6A99A 890491 MOV DWORD PTR DS:[ECX+EDX*4],EAX
00B6A99D 8B55 F4MOV EDX,DWORD PTR SS:[EBP-C]
00B6A9A0 A1 3C30BC00MOV EAX,DWORD PTR DS:[BC303C]
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B6AA13 75 05JNZ SHORT 00B6AA1A//这里即是magic jump
00B6AA15^E9 EFFEFFFFJMP 00B6A909//如果上面的JNZ跳啦，就直接跳向IAT加密执行循环处理
00B6AA1A C785 BCFEFFFF 00>MOV DWORD PTR SS:[EBP-144],0//如果JNZ不跳那么就不会进行加密处理
00B6AA24 C785 C0FEFFFF 00>MOV DWORD PTR SS:[EBP-140],0//我们改好magic jump后一直向下拉
00B6AA2E 8B4D F8MOV ECX,DWORD PTR SS:[EBP-8]
00B6AA31 8B51 04MOV EDX,DWORD PTR DS:[ECX+4]
00B6AA34 8995 C4FEFFFFMOV DWORD PTR SS:[EBP-13C],EDX
00B6AA3A EB 0FJMP SHORT 00B6AA4B
00B6AA3C 8B85 C4FEFFFFMOV EAX,DWORD PTR SS:[EBP-13C] //我们走到这里时开始注意
00B6AA42 83C0 0CADD EAX,0C
00B6AA45 8985 C4FEFFFFMOV DWORD PTR SS:[EBP-13C],EAX
00B6AA4B 8B8D C4FEFFFFMOV ECX,DWORD PTR SS:[EBP-13C]
00B6AA51 8339 00CMP DWORD PTR DS:[ECX],0
00B6AA54 74 11JE SHORT 00B6AA67
00B6AA56 8B95 C0FEFFFFMOV EDX,DWORD PTR SS:[EBP-140]
00B6AA5C 83C2 01ADD EDX,1
00B6AA5F 8995 C0FEFFFFMOV DWORD PTR SS:[EBP-140],EDX //而此时EDX的值不段的累加，即处理我们的IAT指针
00B6AA65^EB D5JMP SHORT 00B6AA3C //这里不断的向上跳
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B6AC86 33348A XOR ESI,DWORD PTR DS:[EDX+ECX*4]
00B6AC89 8B45 F4MOV EAX,DWORD PTR SS:[EBP-C]
00B6AC8C 8B0D 3C30BC00MOV ECX,DWORD PTR DS:[BC303C]
00B6AC92 893481 MOV DWORD PTR DS:[ECX+EAX*4],ESI
00B6AC95^E9 6FFCFFFFJMP 00B6A909 //一直拉到这个位置，跳过了上面的IAT加密
00B6AC9A EB 03JMP SHORT 00B6AC9F //我们在这里F2下断，shitf+f9运行到这里
00B6AC9C D6 SALC //此时我们在向上去我们修改magic jump处把他还原
00B6AC9D D6 SALC //还原的目的是避免壳检测
00B6AC9E 8F ???//我们ait+m打开内存镜像
00B6AC9F 8B15 9CA1BC00MOV EDX,DWORD PTR DS:[BCA19C]
00B6ACA5 8995 B4FDFFFFMOV DWORD PTR SS:[EBP-24C],EDX
00B6ACAB 83BD B4FDFFFF 00 CMP DWORD PTR SS:[EBP-24C],0
━━━━━━━━━━━━━━━━━━━━━━━━━━
Memory map, item 23//我们在此F2下断，shift+f9运行
Address=00401000
Size=00001000 (4096.)
Owner=UnPackMe 00400000
Section=.text
Type=Imag 01001002
Access=R
Initial access=RWE
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B931AC8B11mov edx,dword ptr ds:[ecx] //程序停在这里
00B931AE8955 FC mov dword ptr ss:[ebp-4],edx //开始疯狂的F8单步走被
00B931B1B8 25000000 mov eax,25
00B931B6C1E0 02 shl eax,2
00B931B98B0D 2C0BBC00 mov ecx,dword ptr ds:[BC0B2C]; UnPackMe.00454380
00B931BF8B1401mov edx,dword ptr ds:[ecx+eax]
00B931C23355 FC xor edx,dword ptr ss:[ebp-4]
00B931C5B8 25000000 mov eax,25
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B931F95Epop esi //通过下面这个retn处返回
00B931FA8BE5mov esp,ebp
00B931FC5Dpop ebp
00B931FDC3retn//到此返回到另外一段代码
00B931FECCint3
00B931FFCCint3
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B985A183C4 04 add esp,4 //我们返回到此
00B985A4C745 FC FEFFFFF>mov dword ptr ss:[ebp-4],-2 //继续F8疯狂的走起
00B985ABEB 34 jmp short 00B985E1//这个JMP向下跳，一直走
00B985AD8B45 EC mov eax,dword ptr ss:[ebp-14]
00B985B08B08mov ecx,dword ptr ds:[eax]
00B985B28B11mov edx,dword ptr ds:[ecx]
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B985EB59pop ecx //JMP跳来了这里
00B985EC5Fpop edi
00B985ED5Epop esi
00B985EE5Bpop ebx
00B985EF8BE5mov esp,ebp
00B985F15Dpop ebp
00B985F2C3retn//通过这个RETN处返回
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B9302583C4 08 add esp,8 //继续F8单步向前冲
00B930288B15 440BBC00 mov edx,dword ptr ds:[BC0B44]; UnPackMe.00400000
00B9302E8955 E4 mov dword ptr ss:[ebp-1C],edx
00B93031B8 0A000000 mov eax,0A
00B93036C1E0 02 shl eax,2
━━━━━━━━━━━━━━━━━━━━━━━━━━
00B930D88B45 08 mov eax,dword ptr ss:[ebp+8]//到达这里时放慢脚步
00B930DB8B48 0C mov ecx,dword ptr ds:[eax+C]
00B930DE51push ecx
00B930DF8B55 F4 mov edx,dword ptr ss:[ebp-C]
00B930E22B55 DC sub edx,dword ptr ss:[ebp-24]
00B930E5FFD2call edx//这里F7跟进就是我们的OEP啦
00B930E78945 FC mov dword ptr ss:[ebp-4],eax//到上面CALL时注意寄存器或者信息窗口就可以啦
00B930EA8B45 FC mov eax,dword ptr ss:[ebp-4]
━━━━━━━━━━━━━━━━━━━━━━━━━━
00401700 55 PUSH EBP//到达OEP，运行lordPE脱壳
00401701 8BEC MOV EBP,ESP //在运行impoRCE修复
00401703 6A FFPUSH -1
00401705 68 00254000PUSH UnPackMe.00402500
0040170A 68 86184000PUSH UnPackMe.00401886 ; JMP to msvcrt._except_handler3
0040170F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00401715 50 PUSH EAX
00401716 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0040171D 83EC 68SUB ESP,68
00401720 53 PUSH EBX

yunfeng · 发表于 2008-10-17 07:12

小生我怕怕现在加壳的难度开始加大了，这个较高版本的壳，我还没有脱过，决定试一下。
首先运行程序，打开任务管理器，发现只有一个进程，基本确定为单线程
OD载入，忽略所有异常，隐藏OD
00444000 >60pushad
00444001E8 00000000 call UnPackMe.00444006
004440065Dpop ebp
0044400750push eax
0044400851push ecx
004440090FCAbswap edx
0044400BF7D2not edx
0044400D9Cpushfd
0044400EF7D2not edx
004440100FCAbswap edx
00444012EB 0F jmp short UnPackMe.00444023
bp GetModuleHandleA+5
shift+F9 直到出现如下信息
00129134|00B6A991返回到 00B6A991 来自 kernel32.GetModuleHandleA
00129138|001292B0ASCII "kernel32.dll"
0012913C|00000000
00129140|00454380UnPackMe.00454380

取消断点 alf+F9 返回
00B6A9F5FF15 8830BB00 call dword ptr ds:[BB3088] ; kernel32.LoadLibraryA
00B6A9FB8B55 F4 mov edx,dword ptr ss:[ebp-C]
00B6A9FE8B0D 3C30BC00 mov ecx,dword ptr ds:[BC303C]
00B6AA04890491mov dword ptr ds:[ecx+edx*4],eax
00B6AA078B55 F4 mov edx,dword ptr ss:[ebp-C]
00B6AA0AA1 3C30BC00 mov eax,dword ptr ds:[BC303C]
00B6AA0F833C90 00 cmp dword ptr ds:[eax+edx*4],0
00B6AA1375 05 jnz short 00B6AA1A;大侠所讲的 magic jump nop掉
CTRL+B 搜索 EB 03 D6 D6
00B6AC95^\E9 6FFCFFFF jmp 00B6A909
00B6AC9AEB 03 jmp short 00B6AC9F
00B6AC9CD6salc
00B6AC9DD6salc

下硬件执行断点 Shift+F9删除断点
再将上面nop地方恢复

寻找OEP

BP CreateThread
Shift+F9 取消断点ALT+F9

00B7614C50push eax
00B7614DFF15 9032BB00 call dword ptr ds:[BB3290] ; kernel32.CloseHandle
00B761535Epop esi
00B761545Bpop ebx
00B761558BE5mov esp,ebp
00B761575Dpop ebp
00B76158C3retn
F8 一路向下
00B930D88B45 08 mov eax,dword ptr ss:[ebp+8]
00B930DB8B48 0C mov ecx,dword ptr ds:[eax+C]
00B930DE51push ecx
00B930DF8B55 F4 mov edx,dword ptr ss:[ebp-C]
00B930E22B55 DC sub edx,dword ptr ss:[ebp-24]
00B930E5FFD2call edx; UnPackMe.00401700这里就是我们要找的OEP
00B930E78945 FC mov dword ptr ss:[ebp-4],eax
00B930EA8B45 FC mov eax,dword ptr ss:[ebp-4]
F7进去看一看
0040170055push ebp
004017018BECmov ebp,esp
004017036A FF push -1
0040170568 00254000 push UnPackMe.00402500
0040170A68 86184000 push UnPackMe.00401886 ; jmp 到 msvcrt._except_handler3
0040170F64:A1 00000000mov eax,dword ptr fs:[0]
0040171550push eax
0040171664:8925 0000000>mov dword ptr fs:[0],esp
0040171D83EC 68 sub esp,68
0040172053push ebx
0040172156push esi
0040172257push edi
004017238965 E8 mov dword ptr ss:[ebp-18],esp
0040172633DBxor ebx,ebx
00401728895D FC mov dword ptr ss:[ebp-4],ebx
0040172B6A 02 push 2
0040172DFF15 90214000 call dword ptr ds:[402190]; msvcrt.__set_app_type
LordPE dump进程

ImportREC 输入OEP 1700 获取输入表

剪切无效函数就可以运行了
脱壳运行正常,知道这是ARM的最小保护

lqiulu · 发表于 2008-10-17 08:28

Armadillo Find Protected V1.8查壳，如下：
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Standard protection or Minimum protection
!- <Backup Key Options>
No Registry Keys at All
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
487FDD00 Version 6.04 18-07-2008
!- Elapsed Time 00h 00m 00s 328ms

单进程标准壳。

两种方法脱壳。

第一种方法：使用断点：
bp VirtualProtect
bp CreateThread

首先bp 下断VirtualProtect ，处理iat加密。shift+f9运行，注意寄存器eax。
运行七次。当一个大的缓冲，且ecx值为00401000时，取消断点返回

00B8CC8C 8B8D C8D5FFFF MOV ECX,DWORD PTR SS:[EBP-2A38]
00B8CC92 51PUSH ECX
00B8CC93 8B95 C4D5FFFF MOV EDX,DWORD PTR SS:[EBP-2A3C]
00B8CC99 52PUSH EDX
00B8CC9A 8B85 74D8FFFF MOV EAX,DWORD PTR SS:[EBP-278C]
00B8CCA0 0385 C0D5FFFF ADD EAX,DWORD PTR SS:[EBP-2A40]

ctrl + f查找。“push 100 ”

查到这里：
00B42EC0 55 PUSH EBP //这里改为retn
00B42EC1 8BEC MOV EBP,ESP
00B42EC3 83EC 2CSUB ESP,2C
00B42EC6 833D 20F6BB00 00 CMP DWORD PTR DS:[BBF620],0
00B42ECD 75 59JNZ SHORT 00B42F28
00B42ECF C745 EC 13004BBA MOV DWORD PTR SS:[EBP-14],BA4B00>
00B42ED6 68 00010000PUSH 100 //找到这里。将段首改为retn。

接着再下第二个断点：bp CreateThread shift+f9运行。

7C8106C7 > 8BFF MOV EDI,EDI //断在这里，alt+f9返回
7C8106C9 55 PUSH EBP
7C8106CA 8BEC MOV EBP,ESP
7C8106CC FF75 1CPUSH DWORD PTR SS:[EBP+1C]
--------------------------------------------------------------------------------------
00B7614C 50PUSH EAX //返回到这里，单步走
00B7614D FF15 9032BB00 CALL DWORD PTR DS:[BB3290] ; kernel32.CloseHandle
00B76153 5EPOP ESI
00B76154 5BPOP EBX
00B76155 8BE5MOV ESP,EBP
---------------------------------------------------------------------------------------
00B93057 8975 F4 MOV DWORD PTR SS:[EBP-C],ESI
00B9305A 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00B9305D 8338 00 CMP DWORD PTR DS:[EAX],0
00B93060 75 40 JNZ SHORT 00B930A2
00B93062 8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B93068 8B15 2C0BBC00 MOV EDX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B9306E 8B41 6C MOV EAX,DWORD PTR DS:[ECX+6C]
00B93071 3342 3C XOR EAX,DWORD PTR DS:[EDX+3C]
00B93074 8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B9307A 3341 78 XOR EAX,DWORD PTR DS:[ECX+78]
00B9307D 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX
00B93080 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8]
00B93083 8B42 18 MOV EAX,DWORD PTR DS:[EDX+18]
00B93086 50PUSH EAX
00B93087 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
00B9308A 8B51 14 MOV EDX,DWORD PTR DS:[ECX+14]
00B9308D 52PUSH EDX
00B9308E 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00B93091 8B48 10 MOV ECX,DWORD PTR DS:[EAX+10]
00B93094 51PUSH ECX
00B93095 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B93098 2B55 E0 SUB EDX,DWORD PTR SS:[EBP-20]
00B9309B FFD2CALL EDX
00B9309D 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
00B930A0 EB 48 JMP SHORT 00B930EA
00B930A2 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00B930A5 8338 01 CMP DWORD PTR DS:[EAX],1
00B930A8 75 40 JNZ SHORT 00B930EA
00B930AA 8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B930B0 8B15 2C0BBC00 MOV EDX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B930B6 8B41 6C MOV EAX,DWORD PTR DS:[ECX+6C]
00B930B9 3342 3C XOR EAX,DWORD PTR DS:[EDX+3C]
00B930BC 8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B930C2 3341 78 XOR EAX,DWORD PTR DS:[ECX+78]
00B930C5 8945 DC MOV DWORD PTR SS:[EBP-24],EAX
00B930C8 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8]
00B930CB 8B42 04 MOV EAX,DWORD PTR DS:[EDX+4]
00B930CE 50 PUSH EAX
00B930CF 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
00B930D2 8B51 08 MOV EDX,DWORD PTR DS:[ECX+8]
00B930D5 52PUSH EDX
00B930D6 6A 00 PUSH 0
00B930D8 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00B930DB 8B48 0C MOV ECX,DWORD PTR DS:[EAX+C]
00B930DE 51PUSH ECX
00B930DF 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B930E2 2B55 DC SUB EDX,DWORD PTR SS:[EBP-24]
00B930E5 FFD2CALL EDX //F7进入，这里就跳到OEP了。
00B930E7 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
00B930EA 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00B930ED 5EPOP ESI
00B930EE 8BE5MOV ESP,EBP
00B930F0 5DPOP EBP
00B930F1 C3RETN
----------------------------------------------------------------------------------------
00401700 55 PUSH EBP //这里就是程序的OEP。dump吧。
00401701 8BEC MOV EBP,ESP
00401703 6A FFPUSH -1
00401705 68 00254000PUSH UnPackMe.00402500
0040170A 68 86184000PUSH UnPackMe.00401886 ; JMP to msvcrt._except_handler3
0040170F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00401715 50 PUSH EAX
00401716 64:89250000000 MOV DWORD PTR FS:[0],ESP

第二种方法：使用常规断点：
bp GetModuleHandleA+9
bp CreateThread

首先bp GetModuleHandleA+9 下断，处理iat加密。shift+f9运行，注意堆栈。
运行N次。找返回时机。当堆栈中出现如下，马上就到返回时机了。

001293E4 /0012EB40
001293E8 |00B88683 RETURN to 00B88683 from kernel32.GetModuleHandleA
001293EC |00BB514C ASCII "kernel32.dll"
001293F0 |00BB6D64 ASCII "VirtualFree"
001293F4 |0EF6D207
001293F8 |00454380 UnPackMe.00454380

再运行一次：寄存器为如下：这就是返回时机，ALT+F9返回。

EAX 001292B0 ASCII "kernel32.dll"
ECX 001292B0 ASCII "kernel32.dll"
EDX 00000000
EBX 00000001
ESP 00129130
EBP 00129130
ESI 00454380 UnPackMe.00454380
EDI 00000000
EIP 7C80B73A kernel32.7C80B73A

----------------------------------------------------------------------------

00B6A991 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C] //返回到这里。
00B6A994 8B0D 3C30BC00 MOV ECX,DWORD PTR DS:[BC303C]
00B6A99A 890491MOV DWORD PTR DS:[ECX+EDX*4],EAX
00B6A99D 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6A9A0 A1 3C30BC00 MOV EAX,DWORD PTR DS:[BC303C]
00B6A9A5 833C90 00 CMP DWORD PTR DS:[EAX+EDX*4],0
00B6A9A9 75 5C JNZ SHORT 00B6AA07
00B6A9AB 8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]
00B6A9AE 8B51 08 MOV EDX,DWORD PTR DS:[ECX+8]
00B6A9B1 83E2 02 AND EDX,2
00B6A9B4 74 38 JE SHORT 00B6A9EE
00B6A9B6 B8 1C000000 MOV EAX,1C
00B6A9BB C1E0 02 SHL EAX,2
00B6A9BE 8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B6A9C4 8B15 2C0BBC00 MOV EDX,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B6A9CA 8B35 2C0BBC00 MOV ESI,DWORD PTR DS:[BC0B2C] ; UnPackMe.00454380
00B6A9D0 8B5E 48 MOV EBX,DWORD PTR DS:[ESI+48]
00B6A9D3 335A 3C XOR EBX,DWORD PTR DS:[EDX+3C]
00B6A9D6 331C01XOR EBX,DWORD PTR DS:[ECX+EAX]
00B6A9D9 83E3 10 AND EBX,10
00B6A9DC F7DBNEG EBX
00B6A9DE 1BDBSBB EBX,EBX
00B6A9E0 F7DBNEG EBX
00B6A9E2 0FB6C3MOVZX EAX,BL
00B6A9E5 85C0TEST EAX,EAX
00B6A9E7 75 05 JNZ SHORT 00B6A9EE
00B6A9E9 ^ E9 1BFFFFFF JMP 00B6A909
00B6A9EE 8D8D C8FEFFFF LEA ECX,DWORD PTR SS:[EBP-138]
00B6A9F4 51PUSH ECX
00B6A9F5 FF15 8830BB00 CALL DWORD PTR DS:[BB3088] ; kernel32.LoadLibraryA
00B6A9FB 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6A9FE 8B0D 3C30BC00 MOV ECX,DWORD PTR DS:[BC303C]
00B6AA04 890491MOV DWORD PTR DS:[ECX+EDX*4],EAX
00B6AA07 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6AA0A A1 3C30BC00 MOV EAX,DWORD PTR DS:[BC303C]
00B6AA0F 833C90 00 CMP DWORD PTR DS:[EAX+EDX*4],0
00B6AA13 75 05 JNZ SHORT 00B6AA1A //magic jmp NOP掉
00B6AA15 ^ E9 EFFEFFFF JMP 00B6A909
00B6AA1A C785 BCFEFFFF>MOV DWORD PTR SS:[EBP-144],0
00B6AA24 C785 C0FEFFFF>MOV DWORD PTR SS:[EBP-140],0
00B6AA2E 8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]
00B6AA31 8B51 04 MOV EDX,DWORD PTR DS:[ECX+4]
00B6AA34 8995 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EDX
00B6AA3A EB 0F JMP SHORT 00B6AA4B
00B6AA3C 8B85 C4FEFFFF MOV EAX,DWORD PTR SS:[EBP-13C]
00B6AA42 83C0 0C ADD EAX,0C
00B6AA45 8985 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EAX
00B6AA4B 8B8D C4FEFFFF MOV ECX,DWORD PTR SS:[EBP-13C]
00B6AA51 8339 00 CMP DWORD PTR DS:[ECX],0
00B6AA54 74 11 JE SHORT 00B6AA67
00B6AA56 8B95 C0FEFFFF MOV EDX,DWORD PTR SS:[EBP-140]
00B6AA5C 83C2 01 ADD EDX,1
00B6AA5F 8995 C0FEFFFF MOV DWORD PTR SS:[EBP-140],EDX
00B6AA65 ^ EB D5 JMP SHORT 00B6AA3C
00B6AA67 33C9XOR ECX,ECX

向下拉，到这里

00B6AC9A /EB 03 JMP SHORT 00B6AC9F //下断，运行到这里时返回修复修改的magic jmp 代码。
00B6AC9C |D6 SALC
00B6AC9D |D6 SALC
00B6AC9E |8F ??? ; Unknown command
00B6AC9F \8B15 9CA1BC00 MOV EDX,DWORD PTR DS:[BCA19C]

下面再下断点bp CreateThread
剩下的与方法一一样。

unp2_.rar

wesley · 发表于 2008-10-17 10:07

因为是最低保护

OD载入直接下he GetModuleHandleA+5(该壳对断点较敏感）
shift+F9
直到在堆栈窗口
001293E4/0012EB40
001293E8|00C98683返回到 00C98683 来自 kernel32.GetModuleHandleA
001293EC|00CC514CASCII "kernel32.dll"
001293F0|00CC6D64ASCII "VirtualFree"
001293F4|0EF6D207
001293F8|00454380UnPack.00454380

再按一次shift+F9
堆栈中出现
00129130/001293E8
00129134|00C7A991返回到 00C7A991 来自 kernel32.GetModuleHandleA
00129138|001292B0ASCII "kernel32.dll"
0012913C|00000000
00129140|00454380UnPack.00454380

ALT＋F9返回并取消硬件断点

00C7A9E7 /75 05 jnz short 00C7A9EE
00C7A9E9^|E9 1BFFFFFF jmp 00C7A909
00C7A9EE \8D8D C8FEFFFF lea ecx,dword ptr ss:[ebp-138]
00C7A9F451push ecx
00C7A9F5FF15 8830CC00 call dword ptr ds:[CC3088]kernel32.LoadLibraryA
00C7A9FB8B55 F4 mov edx,dword ptr ss:[ebp-C]
00C7A9FE8B0D 3C30CD00 mov ecx,dword ptr ds:[CD303C]
00C7AA04890491mov dword ptr ds:[ecx+edx*4],eax
00C7AA078B55 F4 mov edx,dword ptr ss:[ebp-C]
00C7AA0AA1 3C30CD00 mov eax,dword ptr ds:[CD303C]
00C7AA0F833C90 00 cmp dword ptr ds:[eax+edx*4],0
00C7AA1375 05 jnz short 00C7AA1A 此处即为magic jump直接NOP掉
00C7AA15^ E9 EFFEFFFF jmp 00C7A909
00C7AA1AC785 BCFEFFFF 0>mov dword ptr ss:[ebp-144],0
00C7AA24C785 C0FEFFFF 0>mov dword ptr ss:[ebp-140],0
00C7AA2E8B4D F8 mov ecx,dword ptr ss:[ebp-8]

往下看代码
00C7AC8633348Axor esi,dword ptr ds:[edx+ecx*4]
00C7AC898B45 F4 mov eax,dword ptr ss:[ebp-C]
00C7AC8C8B0D 3C30CD00 mov ecx,dword ptr ds:[CD303C]
00C7AC92893481mov dword ptr ds:[ecx+eax*4],esi
00C7AC95^ E9 6FFCFFFF jmp 00C7A909
00C7AC9AEB 03 jmp short 00C7AC9F 在此下F2并运行然后取消断点并把上面magic jump修改的代码还原（以防壳检测）
00C7AC9CD6salc
00C7AC9DD6salc
00C7AC9E8F??? ; 未知命令
00C7AC9F8B15 9CA1CD00 mov edx,dword ptr ds:[CDA19C]

OK
打开内存窗口在00401000下F2
然后shift+f9运行
接着一直F8单步
00CA30DF8B55 F4 mov edx,dword ptr ss:[ebp-C]
00CA30E22B55 DC sub edx,dword ptr ss:[ebp-24]
00CA30E5FFD2call edx 飞向光明 F7跟入 OEP到啦
00CA30E78945 FC mov dword ptr ss:[ebp-4],eax
00CA30EA8B45 FC mov eax,dword ptr ss:[ebp-4]

由于是最低保护所以穿山甲的各个版本效果都差不多原理也几乎一样
没有偷代码直接操起ImportREC修复剪切无效的几个指针
修复后程序成功运行。。。。啦啦啦

wesley · 发表于 2008-10-17 10:10

///////////////////////////////////////////////////////////////Arrives oep place, only tests in this exerciseJust for fun!//Elects to neglect all exceptionally, carries out the script then////2008-10-18 11:04 by Wesley//Other :If you have any questions //Q me please,Thank you!QQ:263010823///////////////////////////////////////////////////////////var GetModuleHandleAvar VirtualAllocvar CreateThreadvar magicjumpvar OEPgpa "GetModuleHandleA", "kernel32.dll" mov GetModuleHandleA,$RESULTgpa "VirtualAlloc", "kernel32.dll" mov VirtualAlloc,$RESULTgpa "CreateThread", "kernel32.dll" mov CreateThread,$RESULTadd GetModuleHandleA,5bphws GetModuleHandleA,"x"//pausex:estocmp eax,VirtualAllocjne xestobphwc GetModuleHandleArtufind eip,#833C????7505#cmp $RESULT,0je erroradd $RESULT,4mov magicjump,$RESULTrepl magicjump, #7505#, #9090#, 2find eip,#EB03D6D68F#bp $RESULTestobc $RESULTrepl magicjump, #9090#, #7505#, 2bp CreateThreadestobc CreateThreadrturtrstofind eip,#51??????2B????FF??8?????8?#cmp $RESULT,0je erroradd $RESULT,7mov OEP,$RESULTbp OEPrunbc OEPsticmt eip,"<- OEP Arrived"msg "please dump it with lordpe and rebuild the IAT with ImportREC^_^ By Wesley"reterror:MSG "somthing must be Wrong! unrecognised version"

nv21 · 发表于 2008-10-17 16:10

OD载入
00444000 >60PUSHAD
00444001E8 00000000 CALL UnPackMe.00444006
004440065DPOP EBP
0044400750PUSH EAX
0044400851PUSH ECX
004440090FCABSWAP EDX
0044400BF7D2NOT EDX
0044400D9CPUSHFD
0044400EF7D2NOT EDX
004440100FCABSWAP EDX
00444012EB 0F JMP SHORT UnPackMe.00444023

下断点he GetModuleHandleA+5 SHIFT +F9运行一次程序出现异常打开OD的选项
填加最近一次异常~!重载程序下断点he GetModuleHandleA+5 SHIFT+F9一次到达
7C80B736837D 08 00CMP DWORD PTR SS:[EBP+8],0
7C80B73A74 18 JE SHORT kernel32.7C80B754
7C80B73CFF75 08 PUSH DWORD PTR SS:[EBP+8]
7C80B73FE8 C0290000 CALL kernel32.7C80E104
7C80B74485C0TEST EAX,EAX
7C80B74674 08 JE SHORT kernel32.7C80B750
7C80B748FF70 04 PUSH DWORD PTR DS:[EAX+4]
7C80B74BE8 7D2D0000 CALL kernel32.GetModuleHandleW
7C80B7505DPOP EBP

注意堆栈窗口SHIFT+F9一次
001293E4/0012EB40
001293E8|00B88665返回到 00B88665 来自 kernel32.GetModuleHandleA
001293EC|00BB514CASCII "kernel32.dll"
001293F0|00BB6D70ASCII "VirtualAlloc"
第二次
001293E4/0012EB40
001293E8|00B88683返回到 00B88683 来自 kernel32.GetModuleHandleA
001293EC|00BB514CASCII "kernel32.dll"
001293F0|00BB6D64ASCII "VirtualFree"

第三次
00129130/001293E8
00129134|00B6A991返回到 00B6A991 来自 kernel32.GetModuleHandleA
00129138|001292B0ASCII "kernel32.dll"

OK这里就是最佳的返回时机删除断点ALT+F9返回

00B6A9918B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6A9948B0D 3C30BC00 MOV ECX,DWORD PTR DS:[BC303C]
00B6A99A890491MOV DWORD PTR DS:[ECX+EDX*4],EAX
00B6A99D8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6A9A0A1 3C30BC00 MOV EAX,DWORD PTR DS:[BC303C]
00B6A9A5833C90 00 CMP DWORD PTR DS:[EAX+EDX*4],0
00B6A9A975 5C JNZ SHORT 00B6AA07
00B6A9AB8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]
00B6A9AE8B51 08 MOV EDX,DWORD PTR DS:[ECX+8]
00B6A9B183E2 02 AND EDX,2
00B6A9B474 38 JE SHORT 00B6A9EE
00B6A9B6B8 1C000000 MOV EAX,1C
00B6A9BBC1E0 02 SHL EAX,2
00B6A9BE8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C]; UnPackMe.00454380
00B6A9C48B15 2C0BBC00 MOV EDX,DWORD PTR DS:[BC0B2C]; UnPackMe.00454380
00B6A9CA8B35 2C0BBC00 MOV ESI,DWORD PTR DS:[BC0B2C]; UnPackMe.00454380
00B6A9D08B5E 48 MOV EBX,DWORD PTR DS:[ESI+48]
00B6A9D3335A 3C XOR EBX,DWORD PTR DS:[EDX+3C]
00B6A9D6331C01XOR EBX,DWORD PTR DS:[ECX+EAX]
00B6A9D983E3 10 AND EBX,10
00B6A9DCF7DBNEG EBX
00B6A9DE1BDBSBB EBX,EBX
00B6A9E0F7DBNEG EBX
00B6A9E20FB6C3MOVZX EAX,BL
00B6A9E585C0TEST EAX,EAX
00B6A9E775 05 JNZ SHORT 00B6A9EE 00B6A9E9^ E9 1BFFFFFF JMP 00B6A909
00B6A9EE8D8D C8FEFFFF LEA ECX,DWORD PTR SS:[EBP-138]
00B6A9F451PUSH ECX
00B6A9F5FF15 8830BB00 CALL DWORD PTR DS:[BB3088] ; kernel32.LoadLibraryA
00B6A9FB8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6A9FE8B0D 3C30BC00 MOV ECX,DWORD PTR DS:[BC303C]
00B6AA04890491MOV DWORD PTR DS:[ECX+EDX*4],EAX
00B6AA078B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B6AA0AA1 3C30BC00 MOV EAX,DWORD PTR DS:[BC303C]
00B6AA0F833C90 00 CMP DWORD PTR DS:[EAX+EDX*4],0
00B6AA1375 05 JNZ SHORT 00B6AA1A----------这个就是传说中的MAGEC JUMP
把它NOP掉原因就是这个跳转在kernel32.LoadLibraryA的下面它是控制它下面的跳转是否能够实现的~!所以可以认为下面的JMP为MAGEC JUMP

开始改过这里但是到OEP之后要把这里改回来前几次失败就是因为到了OEP之后没改所以失败浪费了好多时间~!!!!!!!
00B6AA15^ E9 EFFEFFFF JMP 00B6A909
00B6AA1AC785 BCFEFFFF 0>MOV DWORD PTR SS:[EBP-144],0
00B6AA24C785 C0FEFFFF 0>MOV DWORD PTR SS:[EBP-140],0
00B6AA2E8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]
00B6AA318B51 04 MOV EDX,DWORD PTR DS:[ECX+4]
00B6AA348995 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EDX
00B6AA3AEB 0F JMP SHORT 00B6AA4B
00B6AA3C8B85 C4FEFFFF MOV EAX,DWORD PTR SS:[EBP-13C]
00B6AA4283C0 0C ADD EAX,0C
00B6AA458985 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EAX
00B6AA4B8B8D C4FEFFFF MOV ECX,DWORD PTR SS:[EBP-13C]
00B6AA518339 00 CMP DWORD PTR DS:[ECX],0
00B6AA5474 11 JE SHORT 00B6AA67

打开内存境像~!在00401000下断SHIFT+F9运行
Memory map, 项目 22
地址=00401000
大小=00001000 (4096.)
属主=UnPackMe 00400000
区段=.text
类型=映像 01001002
访问=R
初始访问=RWE
到达下面的地址~!
00B931AC8B11MOV EDX,DWORD PTR DS:[ECX]
00B931AE8955 FC MOV DWORD PTR SS:[EBP-4],EDX
00B931B1B8 25000000 MOV EAX,25
00B931B6C1E0 02 SHL EAX,2
00B931B98B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C]; UnPackMe.00454380
00B931BF8B1401MOV EDX,DWORD PTR DS:[ECX+EAX]
00B931C23355 FC XOR EDX,DWORD PTR SS:[EBP-4]
00B931C5B8 25000000 MOV EAX,25
00B931CAC1E0 02 SHL EAX,2
00B931CD8B0D 2C0BBC00 MOV ECX,DWORD PTR DS:[BC0B2C]; UnPackMe.00454380
00B931D3891408MOV DWORD PTR DS:[EAX+ECX],EDX

单步F8到达00B930CB8B42 04 MOV EAX,DWORD PTR DS:[EDX+4]
00B930CE50PUSH EAX
00B930CF8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
00B930D28B51 08 MOV EDX,DWORD PTR DS:[ECX+8]
00B930D552PUSH EDX
00B930D66A 00 PUSH 0
00B930D88B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00B930DB8B48 0C MOV ECX,DWORD PTR DS:[EAX+C]
00B930DE51PUSH ECX
00B930DF8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B930E22B55 DC SUB EDX,DWORD PTR SS:[EBP-24]
00B930E5FFD2CALL EDX -----------F7进入
00B930E78945 FC MOV DWORD PTR SS:[EBP-4],EAX
00B930EA8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]

在00B930E5FFD2CALL EDX -----------F7进入到达OEP
CTRL+G00B6AA13撤消修改

0040170055PUSH EBP
004017018BECMOV EBP,ESP
004017036A FF PUSH -1
0040170568 00254000 PUSH UnPackMe.00402500
0040170A68 86184000 PUSH UnPackMe.00401886 ; JMP 到 msvcrt._except_handler3
0040170F64:A1 00000000MOV EAX,DWORD PTR FS:[0]
0040171550PUSH EAX
0040171664:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040171D83EC 68 SUB ESP,68
0040172053PUSH EBX
0040172156PUSH ESI
0040172257PUSH EDI
004017238965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0040172633DBXOR EBX,EBX
00401728895D FC MOV DWORD PTR SS:[EBP-4],EBX

最后要做的就是用LORDPE 脱壳然后就REC修复修复的时候无效指针直接剪切掉就OK了~!

fox2006 · 发表于 2008-10-17 17:21

吾爱专题脱壳练习14
--------------------------------------------------------------------------------
【编写程序】：Microsoft Visual C++ 6.0
【调试环境】：WinXP、OllyDbg、PEiD、LORDPE、ImportREC
【程序查壳】：Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
【脱壳方法】：
---------------------------------------------------------------------------------
00444000 > 60 pushad ;OD载入到这里,下断点bp GetModuleHandleA+5,SHIFT+F9
00444001 E8 00000000 call UnPackMe.00444006
00444006 5D pop ebp
00444007 50 push eax
00444008 51 push ecx
00444009 0FCA bswap edx
---------------------------------------------------------------------------------
当堆栈出现下面信息时候,去断点，ALT+9返回：
0012FEEC 0012FF98
0012FEF0 0043853B 返回到 UnPackMe.0043853B 来自 kernel32.GetModuleHandleA
0012FEF4 00455D00 ASCII "KERNEL32.DLL"
--------------------------------------------------------------------------------
0043853B 8BF0 mov esi,eax ; 返回到这里，ALT+M,在00401000下内存断点，shift+f9一次，
0043853D 85F6 test esi,esi
0043853F 74 23 je short UnPackMe.00438564
00438541 E8 4AFFFFFF call UnPackMe.00438490
00438546 85C0 test eax,eax
----------------------------------------------------------------------------
00BB31AC 8B11 mov edx,dword ptr ds:[ecx] ；断到这里，F8单步一直往下走
00BB31AE 8955 FC mov dword ptr ss:[ebp-4],edx
00BB31B1 B8 25000000 mov eax,25
00BB31B6 C1E0 02 shl eax,2
00BB31B9 8B0D 2C0BBE00 mov ecx,dword ptr ds:[BE0B2C] ; UnPackMe.00454380
--------------------------------------------------------------------------------------
00BB30DB 8B48 0C mov ecx,dword ptr ds:[eax+C]
00BB30DE 51 push ecx
00BB30DF 8B55 F4 mov edx,dword ptr ss:[ebp-C]
00BB30E2 2B55 DC sub edx,dword ptr ss:[ebp-24]
00BB30E5 FFD2 call edx ；从上面一直F8走到这里，很显然这里是跳往OEP的CALL,要F7跟进啦
00BB30E7 8945 FC mov dword ptr ss:[ebp-4],eax
00BB30EA 8B45 FC mov eax,dword ptr ss:[ebp-4]
00BB30ED 5E pop esi
00BB30EE 8BE5 mov esp,ebp
00BB30F0 5D pop ebp
00BB30F1 C3 retn
--------------------------------------------------------------------------------------
00401700 55 push ebp ；到达OEP，DUMP+IAT修复，IAT修复是关键，下面有说明
00401701 8BEC mov ebp,esp
00401703 6A FF push -1
00401705 68 00254000 push UnPackMe.00402500
0040170A 68 86184000 push UnPackMe.00401886 ; jmp 到 msvcrt._except_handler3
0040170F 64:A1 00000000 mov eax,dword ptr fs:[0]
00401715 50 push eax
00401716 64:8925 0000000>mov dword ptr fs:[0],esp
--------------------------------------------------------------------------------------
用ImportREC修复时，剪切无效指针修复文件会不能运行的，需要找到这些无效指针函数。
找到第一个无效指针的RVA=2000,其地址=00402000，这个地址等会要用到

OD重新加载程序，dd 00402000 下硬件访问断点，下断点bp GetModuleHandleA+5, SHIFT+F9
---------------------------------------------------------------------------------
当堆栈出现下面信息时候,去断点，ALT+9返回：
0012FEEC 0012FF98
0012FEF0 0043853B 返回到 UnPackMe.0043853B 来自 kernel32.GetModuleHandleA
0012FEF4 00455D00 ASCII "KERNEL32.DLL"
--------------------------------------------------------------------------------
0043853B 8BF0 mov esi,eax ; 返回到这里，shift+f9二次
0043853D 85F6 test esi,esi
0043853F 74 23 je short UnPackMe.00438564
00438541 E8 4AFFFFFF call UnPackMe.00438490
00438546 85C0 test eax,eax
--------------------------------------------------------------------------------
00BADFC7 8B95 4CD8FFFF mov edx,dword ptr ss:[ebp-27B4] ; 断在这里（是刚才00402000下的断点）
00BADFCD 83C2 04 add edx,4
00BADFD0 8995 4CD8FFFF mov dword ptr ss:[ebp-27B4],edx
00BADFD6 ^ E9 2FFCFFFF jmp 00BADC0A
00BADFDB FF15 4833BD00 call dword ptr ds:[BD3348] ; kernel32.GetTickCount
---------------------------------------------------------------------------------
堆栈出现下面信息：
001293EC 0012AD88 ASCII "GetModuleHandleA" ；这就是无效指针的函数值了。修复的时候要加添加进去
001293F0 0012AC78 ASCII "GetModuleHandleA"
001293F4 0EF6D207
001293F8 00454380 UnPackMe.00454380
001293FC 00000000
00129400 00000000
00129404 0012AD88 ASCII "GetModuleHandleA"
---------------------------------------------------------------------------------
ImportREC修复，OEP=1700,自动获取IAT,获取输入表，双击第一个无效指针，添加GetModuleHandleA，
这是后就可以剪掉其他无效指针，转存OK。
脱壳后用PEID查壳：Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks；
用FI查壳：VC++
脱壳成功。

UnPackMe第14期.rar

jcyhlh · 发表于 2008-10-17 17:27

一、隐藏od，下断点he GetModuleHandleA,(注：下此断点的目的是找到Magic Jump，避开的IAT的加密。)
shift+f9,有一个不知如何绕过的异常，按确定，shift+f9，堆栈窗口
001293E8 00BB8665/CALL 到 GetModuleHandleA 来自 00BB865F
001293EC 00BE514C\pModule = "kernel32.dll"
001293F0 00BE6D70ASCII "VirtualAlloc"-----分配内存函数
001293F4 0EF6D207
001293F8 00454380UnPackMe.00454380

再shift+f9一次，堆栈窗口
001293E8 00BB8683/CALL 到 GetModuleHandleA 来自 00BB867D
001293EC 00BE514C\pModule = "kernel32.dll"
001293F0 00BE6D64ASCII "VirtualFree"-----------释放内存函数，返回前的标志性函数，再按一次shift+f9就是返回时机
001293F4 0EF6D207

再shift+f9一次，堆栈窗口
00129134 00B9A991/CALL 到 GetModuleHandleA 来自 00B9A98B
00129138 001292B0\pModule = "kernel32.dll"----返回时机
0012913C 00000000
00129140 00454380UnPackMe.00454380
返回时机,alt+f9执行到返回
00B9A9EE8D8D C8FEFFFF LEA ECX,DWORD PTR SS:[EBP-138]
00B9A9F451PUSH ECX
00B9A9F5FF15 8830BE00 CALL DWORD PTR DS:[BE3088] ; kernel32.LoadLibraryA------------------------Magic

Jump就是这个下面的第一个跳转
00B9A9FB8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B9A9FE8B0D 3C30BF00 MOV ECX,DWORD PTR DS:[BF303C]
00B9AA04890491MOV DWORD PTR DS:[ECX+EDX*4],EAX
00B9AA078B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00B9AA0AA1 3C30BF00 MOV EAX,DWORD PTR DS:[BF303C]
00B9AA0F833C90 00 CMP DWORD PTR DS:[EAX+EDX*4],0
00B9AA1375 05 JNZ SHORT 00B9AA1A---小跳转nop掉(注：如果是长跳转，就改为jmp)
00B9AA15^ E9 EFFEFFFF JMP 00B9A909
二、找OEP
下断点bp CreateThread，shift+f9一次，中断后代码如下：
7C810637 >8BFFMOV EDI,EDI
7C81063955PUSH EBP
7C81063A8BECMOV EBP,ESP
7C81063CFF75 1C PUSH DWORD PTR SS:[EBP+1C]
7C81063FFF75 18 PUSH DWORD PTR SS:[EBP+18]
7C810642FF75 14 PUSH DWORD PTR SS:[EBP+14]
7C810645FF75 10 PUSH DWORD PTR SS:[EBP+10]
7C810648FF75 0C PUSH DWORD PTR SS:[EBP+C]
7C81064BFF75 08 PUSH DWORD PTR SS:[EBP+8]
7C81064E6A FF PUSH -1
取消断点，Alt+F9返回，
00BA614C50PUSH EAX
00BA614DFF15 9032BE00 CALL DWORD PTR DS:[BE3290] ; kernel32.CloseHandle
00BA61535EPOP ESI
00BA61545BPOP EBX
00BA61558BE5MOV ESP,EBP
00BA61575DPOP EBP
00BA6158C3RETN

F8单步执行，
00BC30DE51PUSH ECX
00BC30DF8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C]
00BC30E22B55 DC SUB EDX,DWORD PTR SS:[EBP-24]
00BC30E5FFD2CALL EDX---f7进入 ; UnPackMe.00401700
00BC30E78945 FC MOV DWORD PTR SS:[EBP-4],EAX
00BC30EA8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
F7进入到oep
0040170055PUSH EBP
004017018BECMOV EBP,ESP
004017036A FF PUSH -1
0040170568 00254000 PUSH UnPackMe.00402500
0040170A68 86184000 PUSH UnPackMe.00401886 ; JMP 到 msvcrt._except_handler3
三、
这时先不要脱壳，因为iat是乱序的，先随便找一个函数，在数据窗口中跟随，然后向上找到iat的起始位置，是402000，这需要用到一个工具

ArmInline,在进程中选择本程序名，在import Elimination下面的选项中，将base of existing iat:填上402000，下面长度一栏填上1000即可

，下面的选项不用动。点重建按纽。这时再dump。
四、用修复工具进行修复。全部有效。成功。

unpack · 发表于 2008-10-17 22:41

不太会脱，所以模仿高手啦！

首先，要忽略一个异常，我们先异常都不勾上，然后shift+f9运行几次后，就能看到异常
C000001E (INVALID LOCK SEQUENCE)就是这个了
然后，忽略所有异常，我们停在

00444000 >60 pushad00444001E8 00000000call UnPackMe.00444006004440065D pop ebp0044400750 push eax0044400851 push ecx

然后我们下bp GetModuleHandleA+5这个断点（前人留下的经验，尚未完全参透，所以也就不说了），然后shift+f9运行，找返回时机，看堆栈，出现下面的信息的时候

(1)

001293E4/0012EB40001293E8|00B88665返回到 00B88665 来自 kernel32.GetModuleHandleA001293EC|00BB514CASCII "kernel32.dll"001293F0|00BB6D70ASCII "VirtualAlloc"001293F4|0EF6D207001293F8|00454380UnPackMe.00454380

(2)

001293E4/0012EB40001293E8|00B88683返回到 00B88683 来自 kernel32.GetModuleHandleA001293EC|00BB514CASCII "kernel32.dll"001293F0|00BB6D64ASCII "VirtualFree"001293F4|0EF6D207001293F8|00454380UnPackMe.00454380

(3)

00129130/001293E800129134|00B6A991返回到 00B6A991 来自 kernel32.GetModuleHandleA00129138|001292B0ASCII "kernel32.dll"0012913C|0000000000129140|00454380UnPackMe.00454380

看到这三个的时候，到第三处的信息后，我们就停下了，我一共用了120次，这个时候我们取消断点，alt+f9返回，来到

00B6A9918B55 F4mov edx,dword ptr ss:[ebp-C]00B6A9948B0D 3C30BC00mov ecx,dword ptr ds:[BC303C]00B6A99A890491 mov dword ptr ds:[ecx+edx*4],eax00B6A99D8B55 F4mov edx,dword ptr ss:[ebp-C]00B6A9A0A1 3C30BC00mov eax,dword ptr ds:[BC303C]00B6A9A5833C90 00cmp dword ptr ds:[eax+edx*4],000B6A9A975 5Cjnz short 00B6AA0700B6A9AB8B4D F8mov ecx,dword ptr ss:[ebp-8]00B6A9AE8B51 08mov edx,dword ptr ds:[ecx+8]00B6A9B183E2 02and edx,200B6A9B474 38je short 00B6A9EE

我们往下找，找到

00B6A9F5FF15 8830BB00call dword ptr ds:[BB3088]; kernel32.LoadLibraryA00B6A9FB8B55 F4mov edx,dword ptr ss:[ebp-C]00B6A9FE8B0D 3C30BC00mov ecx,dword ptr ds:[BC303C]00B6AA04890491 mov dword ptr ds:[ecx+edx*4],eax00B6AA078B55 F4mov edx,dword ptr ss:[ebp-C]00B6AA0AA1 3C30BC00mov eax,dword ptr ds:[BC303C]00B6AA0F833C90 00cmp dword ptr ds:[eax+edx*4],000B6AA1375 05jnz short 00B6AA1A00B6AA15^ E9 EFFEFFFFjmp 00B6A90900B6AA1AC785 BCFEFFFF 000000>mov dword ptr ss:[ebp-144],0

这个函数下的跳转，据说是MAGIC跳转，解释是如果是个大跳就改成JMP，如果是小跳，我们就NOP掉，所以我们将
00B6AA1375 05jnz short 00B6AA1A
这句NOP掉

然后搜索二进制（ctrl+b）：EB 03 D6 D6 8F（拿来了前人的经验啊）

00B6AC95^\E9 6FFCFFFFjmp 00B6A90900B6AC9AEB 03jmp short 00B6AC9F; //搜索到的就是这里了00B6AC9CD6 salc00B6AC9DD6 salc00B6AC9E8F ??? ; 未知命令

然后我们在00B6AC9AEB 03jmp short 00B6AC9F 这句上F2下断，F9运行来到这儿

取消断点，然后把00B6AA13这个地方刚刚NOP掉的右键---撤销选择，高手说是此时IAT处理完毕

然后下断 BP CreateThread，shift+f9运行

7C810657 >8BFF mov edi,edi7C81065955 push ebp7C81065A8BEC mov ebp,esp7C81065CFF75 1Cpush dword ptr ss:[ebp+1C]7C81065FFF75 18push dword ptr ss:[ebp+18]7C810662FF75 14push dword ptr ss:[ebp+14]7C810665FF75 10push dword ptr ss:[ebp+10]

然后取消断点，alt+f9返回

00B7614C50 push eax00B7614DFF15 9032BB00call dword ptr ds:[BB3290]; kernel32.CloseHandle00B761535E pop esi00B761545B pop ebx00B761558BE5 mov esp,ebp00B761575D pop ebp00B76158C3 retn

然后我们一直F8单步来到

00B930CF8B4D 08mov ecx,dword ptr ss:[ebp+8]00B930D28B51 08mov edx,dword ptr ds:[ecx+8]00B930D552 push edx00B930D66A 00push 000B930D88B45 08mov eax,dword ptr ss:[ebp+8]00B930DB8B48 0Cmov ecx,dword ptr ds:[eax+C]00B930DE51 push ecx00B930DF8B55 F4mov edx,dword ptr ss:[ebp-C]00B930E22B55 DCsub edx,dword ptr ss:[ebp-24]00B930E5FFD2 call edx; UnPackMe.0040170000B930E78945 FCmov dword ptr ss:[ebp-4],eax00B930EA8B45 FCmov eax,dword ptr ss:[ebp-4]00B930ED5E pop esi00B930EE8BE5 mov esp,ebp00B930F05D pop ebp00B930F1C3 retn

到了这个call的时候，我们看到是call一个远地址，此时我们F7进入，就到了我们的OEP了

0040170055 push ebp004017018BEC mov ebp,esp004017036A FFpush -10040170568 00254000push UnPackMe.004025000040170A68 86184000push UnPackMe.00401886; jmp to msvcrt._except_handler30040170F64:A1 00000000 mov eax,dword ptr fs:[0]0040171550 push eax0040171664:8925 00000000 mov dword ptr fs:[0],esp0040171D83EC 68sub esp,680040172053 push ebx0040172156 push esi0040172257 push edi004017238965 E8mov dword ptr ss:[ebp-18],esp0040172633DB xor ebx,ebx00401728895D FCmov dword ptr ss:[ebp-4],ebx0040172B6A 02push 20040172DFF15 90214000call dword ptr ds:[402190]; msvcrt.__set_app_type0040173359 pop ecx00401734830D 2C314000 FF or dword ptr ds:[40312C],FFFFFFFF0040173B830D 30314000 FF or dword ptr ds:[403130],FFFFFFFF00401742FF15 8C214000call dword ptr ds:[40218C]; msvcrt.__p__fmode

是vc++的程序，我们用LordPE将它dump下来，然后用ImpREC进行修复，发现有

当前输入表:0 (十进制:0) 个有效模块7A (十进制:122) 个输入函数. (已添加: +7A (十进制:+122))(6 (十进制:6) 个未解决的指针) (已添加: +6 (十进制:+6))

6个无效，我们直接剪切掉，就OK了
修复后，发现能够运行起来，然后用PEID查得是：Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

在网上看到说是这个壳与vc++相似，所以我用FI查了下
显示是：MS Visual C++ v5.? (?PE)

然后用DIE_0.64查得：Microsoft Visual C++|C/C++
用Ixeinfo PE查得：Microsoft Visual C++ ver 5.0/6.0
这样应该说是没有壳的，脱壳也就完成了！！！！

虽然脱壳完了，但是我们发现加密保护壳加壳程序后，程序变大了，但是脱壳后程序应该变少了才是，但是程序大小修复后有800k，所以我们呢要进行减肥它

我们打开LordPE，然后点击PE编辑器----选中修复后的程序----点区段-----然后我们找到.pdata、.data1、.adata、.text1这四个区段，依次右键----wipe section header（擦除区段头）
这样，四个区段去除后，我们点确定，然后点重建PE---选中修复的程序，发现显示压缩到 2%，然后看看重建PE后的程序显示18K
这样就完成了给程序减肥了，减肥后的程序能够运行起来（这时我第一次给程序减肥，可能减掉多了或少见掉了，还望之处！）

dumped_.rar

dumped_减肥.rar

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 吾爱破解脱壳练习----Armadillo 6.04

免费评分