之前写了一个ZP的IAT加密方式分析,这里继续接着前面的文章,写一个ZProtect 加壳的程序的完整脱壳笔记。
目标程序是一个用ZP二次加密的程序,可能是某位大侠的作品,小弟这里只是随手拿来做个演示,有什么冒犯之处,敬请见谅。 目标程序在附件中。
运行一下程序,程序提示只能运行三次,每次只能运行十分钟,看来这个是要先干掉这个对话框再说了~
写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大的代码。
把这个lpk放在软件目录下就没有注册框了。现在可以OD载入了~
1,到OEP去
上次我的分析里面说了,如何最快到达OEP的方式 就是用ESP定律。
过了pushad以后,下Hr ESP 然后就到了。
查找FF25 发现壳没有处理IAT调用的代码,只是对IAT进行了加密,看来这个应该是1.4.0-1.4.4之间的某个版本。
2,修复IAT
通过查找FF25 很容易确定IAT的位置。 005A3190 00641378 店铺宝贝.00641378
005A3194 00641798 店铺宝贝.00641798
005A3198 00641B10 店铺宝贝.00641B10
005A319C 00E30000
005A31A0 00E3000E
005A31A4 00641048 店铺宝贝.00641048
005A31A8 006411E0 店铺宝贝.006411E0
根据我上篇的分析文章的结论,两种加密方式最后是殊途同归的:
push 提取码
调用获取函数序号的call
按照隐藏的IAT基址+序号的方式来寻址。
下面看看两种不同方式的提取码和call的调用方式。
方式一00406A54 - FF25 64325A00 jmp dword ptr ds:[5A3264] ds:[005A3264]=00E30142 00E30142 50 push eax
00E30143 60 pushad
00E30144 68 7695B4AD push ADB49576
00E30149 E8 310DE7FF call 00CA0E7F
00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874]
00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0
00CA0E88 74 57 je short 00CA0EE1
00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ; kernel32.GetTickCount
00CA0E90 8BC8 mov ecx,eax
00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]
00CA0E98 81F9 88130000 cmp ecx,1388
00CA0E9E 76 41 jbe short 00CA0EE1
00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644]
00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax
00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ; kernel32.ResumeThread
00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3
00CA0EB8 7C 08 jl short 00CA0EC2
00CA0EBA 6A 00 push 0
00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ; kernel32.ExitProcess
00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0
00CA0EC9 74 08 je short 00CA0ED3
00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]
00CA0ED1 EB 07 jmp short 00CA0EDA
00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0
00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1
00CA0EE1 56 push esi
00CA0EE2 57 push edi
00CA0EE3 FF7424 0C push dword ptr ss:[esp+C]
00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]
00CA0EED 8BF8 mov edi,eax
00CA0EEF BE 644ECA00 mov esi,0CA4E64
00CA0EF4 E8 6941FFFF call 00C95062
00CA0EF9 8B00 mov eax,dword ptr ds:[eax]
00CA0EFB 5F pop edi
00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax
00CA0F00 5E pop esi
00CA0F01 C2 0400 retn 4
00E3014E 61 popad
00E3014F C3 retn
00641A44 68 6B95B4AD push ADB4956B-----------------------这个就是提取码了~
00641A49 /E9 5E070000 jmp 店铺宝贝.006421AC
006421AC - E9 17F26500 jmp 00CA13C8
00CA13C8 60 pushad
00CA13C9 FF7424 20 push dword ptr ss:[esp+20]
00CA13CD E8 ADFAFFFF call 00CA0E7F
00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874]
00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0
00CA0E88 74 57 je short 00CA0EE1
00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ; kernel32.GetTickCount
00CA0E90 8BC8 mov ecx,eax
00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]
00CA0E98 81F9 88130000 cmp ecx,1388
00CA0E9E 76 41 jbe short 00CA0EE1
00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644]
00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax
00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ; kernel32.ResumeThread
00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3
00CA0EB8 7C 08 jl short 00CA0EC2
00CA0EBA 6A 00 push 0
00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ; kernel32.ExitProcess
00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0
00CA0EC9 74 08 je short 00CA0ED3
00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]
00CA0ED1 EB 07 jmp short 00CA0EDA
00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0
00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1
00CA0EE1 56 push esi
00CA0EE2 57 push edi
00CA0EE3 FF7424 0C push dword ptr ss:[esp+C]----------这里就是push提取码
00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]---------这个call就是获取函数的序号的
00CA0EED 8BF8 mov edi,eax
00CA0EEF BE 644ECA00 mov esi,0CA4E64
00CA0EF4 E8 6941FFFF call 00C95062----------------------这个call就是通过序号和基址获取API地址的
00CA0EF9 8B00 mov eax,dword ptr ds:[eax]---------这里[eax]就是真实的API地址
00CA0EFB 5F pop edi
00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax
00CA0F00 5E pop esi
00CA0F01 C2 0400 retn 4
00CA13D2 61 popad
00CA13D3 C3 retn
了解清楚了,下面就可以自己写代码来修复IAT了。下面是我自己写的一段patch代码,给大家参考一下。 0059BAFE B8 14134000 mov eax,店铺宝贝.00401314-----通过查找FF25,确定的第一个IAT调用所在的位置。
0059BB03 8038 FF cmp byte ptr ds:[eax],0FF-----按字节寻找FF 25
0059BB06 75 3E jnz short 店铺宝贝.0059BB46
0059BB08 8078 01 25 cmp byte ptr ds:[eax+1],25
0059BB0C 75 38 jnz short 店铺宝贝.0059BB46
0059BB0E 66:8378 04 5A cmp word ptr ds:[eax+4],5A----这里是为了防止查找错误而设置的,其中5A是IAT所在的位置
0059BB13 75 31 jnz short 店铺宝贝.0059BB46
0059BB15 8B58 02 mov ebx,dword ptr ds:[eax+2]---传递该处调用的IAT指针
0059BB18 833B 00 cmp dword ptr ds:[ebx],0-------比较IAT中的地址是否为0
0059BB1B 74 29 je short 店铺宝贝.0059BB46
0059BB1D 8B0B mov ecx,dword ptr ds:[ebx]
0059BB1F 66:8139 5060 cmp word ptr ds:[ecx],6050-----判断是不是加密方式1.
0059BB24 74 2E je short 店铺宝贝.0059BB54
0059BB26 8039 68 cmp byte ptr ds:[ecx],68-------处理加密方式2,如果是的话,为保险起见,判断下一个指令是不是push
0059BB29 75 1B jnz short 店铺宝贝.0059BB46
==============================================================================
0059BB2B 50 push eax
0059BB2C FF71 01 push dword ptr ds:[ecx+1]
0059BB2F FF15 5C46CA00 call dword ptr ds:[CA465C]
0059BB35 8BF8 mov edi,eax
0059BB37 BE 644ECA00 mov esi,0CA4E64 这部分就是调用壳的IAT解码函数获取真正的API地址,应用到其他程序时,请自行修改
0059BB3C E8 21956F00 call 00C95062
0059BB41 8B10 mov edx,dword ptr ds:[eax]
0059BB43 8913 mov dword ptr ds:[ebx],edx------修复IAT
0059BB45 58 pop eax
==============================================================================
0059BB46 83C0 01 add eax,1----------------------继续查找
0059BB49 3D 00005900 cmp eax,店铺宝贝.00590000-------这个值是IAT调用查找的上限,请自行修改
0059BB4E ^ 72 B3 jb short 店铺宝贝.0059BB03
0059BB50 EB 10 jmp short 店铺宝贝.0059BB62 -------执行到这里就表示完成了
0059BB52 90 nop
0059BB53 90 nop
0059BB54 8079 02 68 cmp byte ptr ds:[ecx+2],68----这里就是处理方式1的部分
0059BB58 ^ 75 EC jnz short 店铺宝贝.0059BB46
0059BB5A 50 push eax
0059BB5B FF71 03 push dword ptr ds:[ecx+3]
0059BB5E ^ EB CF jmp short 店铺宝贝.0059BB2F
0059BB60 0000 add byte ptr ds:[eax],al
0059BB62 6A 00 push 0
0059BB64 68 75BB5900 push 店铺宝贝.0059BB75 ; ASCII "Finish"
0059BB69 68 75BB5900 push 店铺宝贝.0059BB75 ; ASCII "Finish"
0059BB6E 6A 00 push 0
0059BB70 E8 754C7B77 call user32.MessageBoxA----调用MessageBoxa 显示一个完成对话框。
0059BB75 46 inc esi
0059BB76 696E 69 73680000 imul ebp,dword ptr ds:[esi+69],6873
0059BB7D 90 nop
0059BB7E ^ E9 0DFFFFFF jmp 店铺宝贝.0059BA90
二进制
00 CC B8 14 13 40 00 80 38 FF 75 3E 80 78 01 25 75 38 66 83 78 04 5A 75 31 8B 58 02 83 3B 00 74
29 8B 0B 66 81 39 50 60 74 2E 80 39 68 75 1B 50 FF 71 01 FF 15 5C 46 CA 00 8B F8 BE 64 4E CA 00
E8 21 95 6F 00 8B 10 89 13 58 83 C0 01 3D 00 00 59 00 72 B3 EB 10 90 90 80 79 02 68 75 EC 50 FF
71 03 EB CF 00 00 6A 00 68 75 BB 59 00 68 75 BB 59 00 6A 00 E8 75 4C 7B 77 46 69 6E 69 73 68 00
00 90 E9 0D FF FF FF
IAT修复完了,因为是二次加密,应该也没有SDK什么的。直接dump程序。然后修复。
可是程序不能运行。
问题出在哪里呢?
调试跟踪一下,问题处在下面这里00422872 8B45 FC mov eax,dword ptr ss:[ebp-4]
00422875 50 push eax
00422876 56 push esi
00422877 E8 A446FEFF call
0042287C 8BF8 mov edi,eax
用LordPE打开看一下,点击打开资源表,LordPE直接down掉。看来果然是资源表出了问题。
想一下,为什么加壳的程序能找到资源,脱壳的程序就找不到了呢?
思来想去,终于想通了:
原来,我们之前脱壳抓取镜像的时候,使用的从磁盘文件(加壳文件)贴过来的PE头,而对于加壳文件来说,资源表是被修改了的。当然会出错了。
知道了这些,就好办了,取消勾选“从磁盘文件粘贴PE头”,然后重新dump程序。
再用ImportREC修复就OK了!!
总结:
1,分析明白IAT的加密方式以后,就可以自己写patch代码修复IAT。
2,ZProtect会对PE头做比较大的手脚,修复的时候要注意。
2009.03.09 HyperChem | 
发表于 2009-3-9 17:30
发表于 2009-3-9 17:50
发表于 2009-3-9 17:56
发表于 2009-3-9 20:13
|
发表于 2009-3-9 21:12
