吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12050|回复: 82
收起左侧

[原创] 吾爱破解新手教程脱壳篇 ”大表哥“ 例子无脚本脱壳

  [复制链接]
镇北看雪 发表于 2020-8-6 02:58
本帖最后由 镇北看雪 于 2020-8-6 03:02 编辑

说在前面

这两天刚接触壳看了L4Nce前辈的脱壳篇上后,自己迫不及待的就想自己脱一下那个大表哥的例子程序。L4Nce前辈在视频里说准备要用OD脚本讲解如何脱这个壳,无奈自己不会OD脚本就想先试试看能不能脱,然后发现此例子不用OD脚本更简单,就想着把自己的思路和方法发出来和大家一起学习。

工具

  • OD
  • LordPE
  • ImportRE
  • 环境虚拟机win7

脱壳详细过程

寻找OEP

这里我用的是简单的ESP定律,即堆栈平衡原理。
先把例子程序拖到OD中,然后程序来到壳代码的程序入口点。第一条指令是pushad是壳代码为了保存环境,所以在离开壳代码进入OEP的时候其一定会popad恢复环境。我们F7运行后观察到ESP为0x18FF6c,其在popad的时候一定会在访问此栈地址,所以我们在此栈地址处下硬件读断点。(在命令行键入 hr 0x18FF6c)
$M_S$}RK5Y(SXNTA0Q@PD7W.png
B~%}U}DK(MP@BWY]8SOIZ}C.png

然后我们直接F9运行程序,程序会在执行完popad指令后断下。然年我们就可以很容易发现跳转到OEP的代码指令,因为程序的加载基地址为0x400000,所以获得OEP的RVA为0x1DDAC。
RCHMA7S]F2}H~U4T4PXIQCC.png

dump程序文件

接着我们就可以在程序OEP处下断点然后运行程序断在此处。
SMP18W)D)@{S@ON9TF~OCRE.png

然后我们利用工具LordPE进行dump程序,在对应进程处右击-》完整转存。(可以不必一定运行到此处在dump只要所有区块都被解压缩后就可以dump程序)

FW(`7Q2AIU@SB0@7)(~~EMU.png

重建输入表

我们Alt+M查看内存,一般程序的IAT都会存放在非外壳代码的区块中。我们只需要一个区块区块的找就可以了。

9@[{@2I`B]${HC[YQLBLIOS.png

但是这里我们并没有发现IAT的踪迹,然后就很懵。为什么没有IAT呢?这时我想到其程序如果没有IAT是怎么调用的API呢,接着就想着查看程序的函数调用指令。来到程序的函数调用处发现OD中并没有显示API调用的注释。

8NLCQ7`5LU[URZLY~YH4.png

难道其没有调用API吗?显然是不可能的,那麽为什么没有API的调用提示呢?这时我看到一些调用指令和正常的API调用指令很相似。call [ 地址 ]的形式

M14HNN93)`T2}}`A~6QIB1Z.png

跟进后我们发现其地址处是指令 push 0x769C4D40,retn。就相当于是jmp  0x769C4D40,接着发现 0x769C4D40处实际就是一个API的首地址。

R4_R{PN1~11`25P~(3HKE.png

然后我们发现这种调用形式还有很多,然后总结出应该是壳代码将IAT处API函数真正的地址修改为调用自己的代码然后再由此代码去调用对应的API。这样做就可以让程序不需要IAT而运行,从而达到防止IAT被找到构建输入表。如果我们直接用输入表重构工具ImportRE来导入此程序就会发现因无法找到IAT而无法找到有效的函数调用地址。

]4GT`HV2}A{QZC4NGX[Y.png

ruci
我们需要自己找到其修改IAT地址为自己的地址的代码,防止其修改或将真正的API调用地址写回到IAT中,使ImportRE可以找到IAT从而获得对应的有效函数调用地址。因为其壳代码会在将各个区块解压缩后修改对应的IAT的数据。我们需要对原IAT地址处下内存写入断点从而找到这段修改IAT的代码。

接下来我们以前面我们分析的那条API调用指令为例,其地址调用0x432174地址的代码。

%}V1$WQE@_TD[C2$`T22H5Q.png

然后用OD重新加载程序,通过对代码段下内存访问断点多次中断后知道代码段被完全解压缩后,我们在0x432174地址处下内存写入断点。

~$GC[8F~_(F{EJP9F0%FN{B.png

然后运行程序后会中断,我们发现此时壳代码会先对此地址进行初始化为0。

~$GC[8F~_(F{EJP9F0%FN{B.png

然后我们继续运行程序,程序中断在API调用地址获取处。我们发现其先把API真正的地址写入0x432174中,然后又把自己的代码地址替换掉0x432174中的真正的API调用地址,所以我们可以直接将替换地址的代码直接nop掉。这样其就不会修改真正的API调用地址,达到防止其修改IAT的目的。

[HZ}`Y$ZVMXH654AIK{WZG3.png

我们对此处代码下断点,然后重新加载程序。运行程序来到此断点处,我们将修改IAT的指令直接nop去。

~_237662`6}~9K9KH5AAGCB.png

接着我们运行程序,让程序停到OEP处。这是我们在查看IAT表发现其为对应的API真正的地址。此IAT表的RVA为0x32000,大小为0x554

$OHN4YQ12V_57DTPFG3M7~B.png

然后我们利用工具ImportRE重建输入表,填写OEP为 0x1DDAC ,在IAT的RVA处填写0x32000,大小为0x554。然后点击获取输入表可以获得输入表函数信息。

I%K6B)I0WCG1_PTO1`XR[A8.png

接着我们点击修复转存文件并选择我们一开始dump的文件即可完成脱壳操作。

总结

L4Nce前辈用的是OD脚本,也可以直接用我的这种直接nop的方法。当然OD脚本是真的强大,回头我也要学学。此壳主要难点就是防止壳代码修改IAT,从而重建输入表。新手脱壳,如有建议请指点。

免费评分

参与人数 28威望 +1 吾爱币 +44 热心值 +24 收起 理由
ruanzeyu + 1 + 1 我很赞同!
Tofumilk + 1 我很赞同!
shaoxingaa + 1 热心回复!
北上阑珊 + 1 我很赞同!
魔法少女伊莉雅 + 1 + 1 谢谢@Thanks!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
小哥9527 + 1 + 1 热心回复!
佳佳的小龙龙呀 + 1 + 1 谢谢@Thanks!
石碎大胸口 + 1 + 1 用心讨论,共获提升!
风中的line + 1 谢谢@Thanks!
pack39 + 1 + 1 一看就是老江湖
Stalker93 + 1 热心回复!
Donghui891227 + 1 + 1 谢谢@Thanks!
哈熊 + 1 + 1 谢谢@Thanks!
shuangwei1234 + 1 + 1 我很赞同!
夏目素年 + 1 + 1 热心回复!
oci0523 + 1 + 1 我很赞同!
騇钚得离去 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
笙若 + 1 + 1 谢谢@Thanks!
不停的叨叨 + 1 + 1 用心讨论,共获提升!
久处不厌 + 1 + 1 谢谢@Thanks!
594大帅哥 + 1 + 1 谢谢@Thanks!
Ra_cong + 1 + 1 用心讨论,共获提升!
461735945 + 1 + 1 谢谢@Thanks!
TITLE + 1 + 1 谢谢@Thanks!
lihaiyangya + 1 + 1 谢谢@Thanks!
macolma + 1 谢谢@Thanks!
东方学痞 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 镇北看雪 发表于 2020-8-6 09:43
liphily 发表于 2020-8-6 09:31
我一直很好奇,为什么程序直接执行没问题,我们单步到OEP的话总是需要各种修复?

这涉及到PE文件一些知识。因为正常没加壳的文件在加载到内存的时候一些工作是由windows加载器做的,而加了壳之后,一般壳会自己完成这些任务。问题来了,如果把壳脱了那壳就不能做这些工作了,但是因为壳会把windows加载器依赖的一些结构破坏,这样windows加载器也无法加载文件了。

所以需要做一些修复(主要还是PE文件的一些东西)

免费评分

参与人数 2吾爱币 +4 热心值 +2 收起 理由
南方棋生 + 1 + 1 用心讨论,共获提升!
liphily + 3 + 1 (⊙o⊙)…,好深奥的原理,大致明白了,谢谢

查看全部评分

东方学痞 发表于 2020-8-6 06:18
lyghost 发表于 2020-8-6 07:18
haidao123 发表于 2020-8-6 07:20
这个可以有
TITLE 发表于 2020-8-6 07:35
谢谢分享
寒韵冰晶 发表于 2020-8-6 07:54
感谢分享
Carl87 发表于 2020-8-6 07:56
需要,感谢分享。
hong_sun 发表于 2020-8-6 08:01
感谢分享,辛苦了。
华月方昊 发表于 2020-8-6 08:11
厉害了,老哥,感谢
x800600 发表于 2020-8-6 08:11
是高手, 水平很高。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 15:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表