好友
阅读权限 20
听众
最后登录 1970-1-1
一、请下载okdodo大师的插件“invisible”
用ThemIDA 1.9.1.0版加密的软件,有很强的反anti能力,在OD v1.10版上不能运行。请在bbc.pediy.com的精华篇中下载okdodo的插件“invisible.dll”,添加到OD文件夹的plugin中,并删除HideOD.dll(或改名为HideOD.dll.bak)。这样Themida v1.9.1.0加密的软件就可以在OD中运行了。
二、Themida v1.9.1.0的通法破解
因为1.9.1.0版本是1.8.5.5版本的升级,在重要的代码段中随机插入了大量的垃圾代码和花指令。不同的软件,甚至同一软件第二次加密其代码都是不一样的!这跟破解的“通用性”带来极大困难。但我终于搞出了一个通用的破解方法!但要使用三个脚本,反复用OD加载要解密的软件。三个脚本分别叫:脚本1(断点侦测)、脚本2(API修复)、脚本3(OEP修复)。
1.脚本1(断点侦测)的使用:脚本如下(已改进为全自动了,用它替换附件中的脚本1)
-------------------------------------------
//Themida 1.9.1.0的断点设置脚本(改进版)
data:
var memory
var csize
var tmp
var temp
var tmpbp
var mem
var mem0
var mem1
var mem2
var mem3
var mem4
var mem5
var Str0
var Str3
var Str4
var Str5
var Str1
var Str2
star:
gmi eip,CODEBASE
mov memory,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
add csize,memory
find memory,#0000000000000000000000000000000000000000000000#
mov tmp,$RESULT
bphws tmp,"w"
esto
esto
esto
bphwc tmp
sto
find memory,#0000000000000000000000000000000000000000000000#
mov tmp,$RESULT
sub csize,tmp
find memory,#909090909090909090909090909090909090#
mov temp,$RESULT+8
bphws temp,"w"
mov tmpbp,eip
run
cmp eip,tmpbp+2
jnz next
run
next:
bphwc
mov Str0,"断点地址:"
add Str0,#0D0A#
mov mem,eip
mov mem4,eip //eip=Addr_4
itoa eip
mov Str4,"Addr_4="
add Str4,$RESULT
add Str4,#0A0D#
find mem4,#83BD????????000F8497000000#
mov mem5,$RESULT //Addr_5
itoa mem5
mov Str5,"Addr_5="
add Str5,$RESULT
sub mem,4000
find mem,#83BD????????640F82??020000#
mov mem0,$RESULT+7 //Addr_0
itoa mem0
add Str0,"Addr_0="
add Str0,$RESULT
add Str0,#0D0A#
find mem0,#C1C003#
find $RESULT,#0385????7409#,40
mov mem3,$RESULT+6 //Addr_3
itoa mem3
mov Str3,"Addr_3="
add Str3,$RESULT
add Str3,#0D0A#
findon:
find mem0,#AD# //从Addr_0开始查找
cmp $RESULT,0
jz stop
mov mem0,$RESULT
find mem0,#01C8#,40
cmp $RESULT,0
jnz findoff
add mem0,40
cmp mem0,mem5
ja stop //超过Addr_5后停止
jmp findon
findoff:
bp $RESULT
add mem0,40
itoa $RESULT
jmp findon
stop:
run
@1:
sti
gn eax
cmp $RESULT,0
jz @1
itoa eip
mov Str1,"Addr_1="
add Str1,$RESULT
add Str1,#0D0A#
bpwm tmp,csize
run
@3:
sti
cmp [eax],ecx
jnz @3
itoa eip
mov Str2,"Addr_2="
add Str2,$RESULT
add Str2,#0A0D#
add Str0,Str1
add Str0,Str2
add Str0,Str3
add Str0,Str4
add Str0,Str5
msg Str0
pause
-----------------------------------------------------------
脚本1的使用非常简单,用OD打开要解密的软件,直接运行脚本1,第一次弹出的对话框给出了6个确定的断点.
Themida每次加密代码都有变化,特征码很难捕获。比如要捕获的特征代码如果是 mov [eax],ecx:
那么,代码 mov [eax],ecx 可以有多种变化,如:
0068475C 51 push ecx
0068475D 813424 1F15FD3E xor dword ptr [esp], 3EFD151F
00684764 8F00 pop dword ptr [eax]
00684766 52 push edx
00684767 BA 00000000 mov edx, 0
0068476C 01C2 add edx, eax
0068476E 8132 1F15FD3E xor dword ptr [edx], 3EFD151F
00684774 5A pop edx
或者
00679700 51 push ecx
00679701 53 push ebx
00679702 BB AF61DB7F mov ebx, 7FDB61AF
00679707 315C24 04 xor dword ptr [esp+4], ebx
0067970B 5B pop ebx
0067970C 8F00 pop dword ptr [eax]
0067970E 8130 AF61DB7F xor dword ptr [eax], 7FDB61AF
(新改进的脚本1已经成为全自动了)
当你把这6个断点地址写入了脚本2后(可以打开脚本2直接修改)就可以关掉OD了。
2.脚本2(API修复)的使用
----------------------------------------------------
//本脚本适用于Thmida 1.9.1.0版本
bphwc
bc
data:
var mem
var mem1
var temIAT
var temESI
var temAPI
var APIstr
var Addr_0
var Addr_1
var Addr_2
var Addr_3
var Addr_4
var Addr_5
Init:
//用对话框中的断点值修改下列各断点,Addr_1,Addr_2的值必须单步跟踪后确定
//只须修改这6个地址
mov Addr_0,676d13
mov Addr_1,67763b
mov Addr_2,679714
mov Addr_3,679889
mov Addr_4,679cd6
mov Addr_5,67cc30
start:
esto
esto
bphws Addr_0,"x"
esto
bphwc Addr_0
mov [Addr_0],#90E9# //将jb改为jmp,去除代码扫描
bp Addr_1
bp Addr_2
bp Addr_3
bp Addr_4
bp Addr_5
First:
run
cmp eip,Addr_1
jz A1
cmp eip,Addr_2
jz A2
cmp eip,Addr_3
jz A3
cmp eip,Addr_4
jz A4
cmp eip,Addr_5
jz A5
jmp First
A1:
mov temAPI,eax //eax 是API函数地址
gn temAPI //显示函数名
log $RESULT
add APIstr," "
add APIstr,$RESULT_2 //恢复API函数名(INT表)
jmp First
A2:
mov temIAT,eax
cmp edx,10000
ja next
xor edx,80000000
mov [eax],edx //修复IAT表(写入序列号)
jmp First
next:
mov [eax],temAPI
jmp First
A3:
mov mem1,eax //eax是内存中呼叫API地址
mov temESI,[esi] //获取转跳标记
jmp First
A4:
cmp temESI,AAAAAAAA
jnz step3
mov [mem1],#FF25# //修复代码中转跳地址
mov [mem1+2],temIAT
jmp First
step3:
mov [mem1],#FF15# //修复代码中呼叫地址
mov [mem1+2],temIAT
jmp First
A5:
bc
//---下面位置在运行脚本3后,写入OEP修复代码,若要再次用于新的程序,则应该将添加的代码删除
pause
------------------------------------------------------
脚本2的使用更简单,当用脚本1的6个地址把本脚本中对应地址修改好后存盘,用OD再次打开该软件,运行脚本2。注意:这6个地址不能有丝毫差错!程序运行如飞,很快停止在断点Addr_5上。
注意到这时堆栈项是:13FF64,而刚打开OD时栈项是13FFC4,差值是60,后面平衡堆栈(脚本3中)要用。
将OD代码段转到401000开始的位置,用OD分析代码一次,你将看到所有的秘密都显示出来了。以提供的FindFile为例,转到API函数表位置(API集中转跳位置402646——402736),选出代码前面没有“$-”符号的部分(本例只有3个):
(若全部都没有“$-”符号,再用OD分析一次)
00402652 .- FF25 A4304000 jmp dword ptr [4030A4] ; USER32.DialogBoxParamA
004026B2 .- FF25 48304000 jmp dword ptr [403048] ; kernel32.ExitProcess
004026DC .- FF25 24304000 jmp dword ptr [403024] ; kernel32.GetModuleHandleA
0040272A $- FF25 04304000 jmp dword ptr [403004]
00402730 $- FF25 00304000 jmp dword ptr [403000]
注意到,40272A、402730后面没有出现函数名称,但[403004]和[403000]中都有确定的值。用alt-M 打开Memory map,发现comdlg32.dll库是红色显示,我什么也没做,关掉Memory map后,居然正常显示了如下:(不能解释其原因)
0040272A $- FF25 04304000 jmp dword ptr [403004] ; comdlg32.GetOpenFileNameA
00402730 $- FF25 00304000 jmp dword ptr [403000] ; comdlg32.GetSaveFileNameA
现在打开脚本3(OEP修复),将没有“$-”符号的那3个函数的相应的代码(照原样写),如下添加在脚本3中:
mov [402652],#FF25A4304000# //<--对应 USER32.DialogBoxParamA
mov [4026B2],#FF2548304000# //<--对应 kernel32.ExitProcess
mov [4026DC],#ff2524304000# //<--对应 kernel32.GetModuleHandleA
mov [4030A4],77D3B144 //<--在该地址中查到的值(注意倒着写),下同
mov [403048],7C81CAFA
mov [403024],7C80B731
bp 402652 //设置对应的断点,下同
bp 4026B2
bp 4026DC
为什么要写入脚本3中呢?原来程序在运行了脚本2后,Themida早已侦查到了系统内存中出现了“调试器”,若继续运行,会在运行一段时间后中止,得不到最后结果。当你在脚本3中写入了相应代码后存盘,关闭OD。
3.脚本3(OEP修复)的使用
---------------------------------------------
data:
var Addr_5
start:
esto
esto
mov Addr_5,67cc30 // <----写入由脚本1得到的Addr_5
bphws Addr_5,"x"
esto
bphwc
//----下面位置在运行脚本2后,添加与OEP有关的断点处代码,若要再次用于新的程序,则应该将全部代码删除
mov [402652],#FF25A4304000#
mov [4026B2],#FF2548304000#
mov [4026DC],#ff2524304000#
mov [4030A4],77D3B144
mov [403048],7C81CAFA
mov [403024],7C80B731
bp 402652
bp 4026B2
bp 4026DC
bpwm 404000,1000 //404000的确定是根据402000是代码区,403000是资源数据区
pause
------------------------------------------------------
脚本3的作用实际上就是将OD运行到底(Addr_5的值一定要根据脚本1得到的修改)。按F9,由于在脚本中添加了如上代码,程序将中断在上面4个断点之一上。添加这些代码的作用就是恢复被VM虚拟的API(在入口代码段中),且运行后在将在堆栈中揭示其秘密。
核对无错误后,用OD再次打开软件,加载脚本3,程序停在Addr_5上。按F9,OD中断在
004026DC .- FF25 24304000 jmp dword ptr [403024] ; kernel32.GetModuleHandleA
在堆栈中看到:
0013FF7C 0066E2F0 /CALL 到 GetModuleHandleA
0013FF80 00000000 \pModule = NULL
这就是入口的第1个API调用。记下后,再F9,中断在VM虚拟机 代码段中:
00B9CD7E F3:A4 rep movs byte ptr es:[edi], byte ptr [esi]
下面的状态条中显示:
ecx = 00000004
ds:[esi]=[003E1FF8]=00
es:[edi]=[00404000]=00
原来是向[00404000]中写入代码,代码值就是当前堆栈中的 003E1FF8 中的值。404000就是GetModuleHandleA 句柄地址。
继续F9,中断在
00402652 - FF25 A4304000 jmp dword ptr [4030A4] ; USER32.DialogBoxParamA
堆栈中显示:
0013FF6C 0066E2FC /CALL 到 DialogBoxParamA
0013FF70 00400000 |hInst = 00400000
0013FF74 00000064 |pTemplate = 64
0013FF78 00000000 |hOwner = NULL
0013FF7C 00401B92 |DlgProc = FindFile.00401B92
0013FF80 00000000 \lParam = NULL
这就是入口的第2个API调用,其参数堆栈中显示非常清楚。因为程序将立即进入DialogBoxParamA,直到关闭窗口后才退出,下面就交替F9或alt-F9,直到窗口出现。(会反复多次按F9或alt-F9,这是因为脚本中设置了“bpwm 404000,1000”的原因),我不知道怎样在运行中清除它?
关闭程序窗口,程序中断在
004026B2 - FF25 48304000 jmp dword ptr [403048] ; kernel32.ExitProcess
堆栈中出现
0013FF7C 0066E309 /CALL 到 ExitProcess
0013FF80 00000000 \ExitCode = 0
请暂时不要关闭OD,整个入口代码都清楚了。将OD代码转到40261C处(乱码开始位置),逐条汇编如下:
汇编语言 对应代码
push 0 6A00
call 4026DC E8B9000000
mov [404000],eax A300404000
push 0 6A00
push 401B92 68921B4000
push 0 6A00
push 64 6A64
push [404000] FF3500404000
call 402652 E814000000
push 0 6A00
call 4026B2 E86D000000
int3 CC <--最后添上一个int3,让其返回系统
4.脚本2的最后完善
---------------------------------
现在打开脚本2,在标签A5:的bc后面写入(添加)如下代码:
(1)修复OEP(完整抄录OD上汇编后出的2进制码):
mov [40261C],#6A00E8B9000000A3004040006A0068921B40006A006A64FF3500404000E8140000006A00E86D000000CC#
(2)为平衡堆栈,实现对OEP的转跳,继续写入:(前面记录过栈项的差值=60)
mov [Addr_5],#81C460000000B81C26400050C3#
(即对应下列汇编的二进制代码:
add esp,60
mov eax,40261C
push eax
retn )
(3)再写入如下代码,作用是将API函数名称写入适当空白处(如403600)减轻dump后的录入文字工作。
mov [403600],APIstr
sti
sti
sti
sti //4个单步
(4)写完后存盘,关闭OD,再次打开OD,加载脚本2,程序停在OEP处。若按F9,程序运行良好。
至此,Thmida 1.9.1.0加密的软件完美解密!
三、破解思路整理
三个脚本,翻来复去地运行,有点头晕,整理思路:
运行脚本1,得到6个断点地址--->写入脚本2,运行脚本2得到几个“无关联函数”将其信息写入脚本3,并设置相应断点--->运行脚本3,从堆栈中获取OEP入口代码信息并回写入脚本2---->运行脚本2,实现完美解密。
四、后记
1.本文的方法适用于Thmida 1.8---1.9的各种版本。1.8以前的版本我没有看过,1.9.1.0以后的也没有看过,很难说通吃各种版本,但对于大多数被Themida加密的程序应该是没有问题的。(试验得不多,若有例外,研究后改进)其实我毫无保留地给出了我破解的详细思路和作法,让有兴趣者可以在此基础上加以发展,写出Themida脱壳 机。(网上有个Themida脱壳机,不知什么版本,也根本不能运行)
2.对于用VC++编写的程序,运行脚本3不会有太好的结果,原因是没有“$-”符号的函数太多,大多是无用的(VC-6编辑器几乎将MFC42D.DLL、MSVCRTD.dll等库中函数全部装载,不管你调用不调用)而windows下的API又很少使用,但VC++的入口代码又具有相对固定的模式,甚至可以nop掉一堆SEH的设置代码,程序对入口的堆栈长度设置(如:add esp,-6C)也不敏感(参考我《对themida1855加密VC++程序的完美脱壳》一文)对于用VC++编写的程序在运行脚本1后,运行脚本2一次,获取入口地址后,在脚本2的A5:标签后直接添加如下代码:
mov [4xxxxx],APIstr //4xxxxx表示找一段空白,写入函数名称
mov [Addr_5],#81C460000000B8xxxx4x0050C3# //xxxx4x入口地址反向写入
mov [4xxxxx],#558BEC6AFF90909090909090909090909090909090909090909090909083C4945356578965E8C745FC000000006A02# //代码长度由现场决定,4xxxxx表示OEP入口地址(乱码开始地址),添加的代码几乎无须改动
sti
sti
sti
sti
将脚本2存盘一次,再次运行它,当你具有一定经验后,可能会得到满意的结果。
3.请注意,当须要把三个脚本用于新的程序时,请一定将前一个程序在脚本2、脚本3中添加的代码删除,否则可能有不希望的结果发生。
4.通过三个脚本解密的程序,可以dump了,但dump后的程序还要加工才能运行。如修改IID导入表,恢复INT表,还原IAT表中数据,瘦身等,这些是PE文件基本知识,不涉及破解知识,不在此讨论
temp.rar
1.22 MB, 下载次数: 320, 下载积分: 吾爱币 -1 CB