本帖最后由 Martin 于 2014-10-30 09:26 编辑
1
好的,这个重定位地址也就是sub ecx,0x8;shr ecx,1这里就是关键点,这两个前面的机器码和在一起就是83E908D1E9,那么就可以在脚本编辑器中进行写这段脚本了。 [Asm] 纯文本查看 复制代码 var Relocation //存放重定位地址
Var aa //声明变量
FIND eip,#83E908D1E9# //搜索上面那段代码
MOV aa,$RESULT //将搜索的eip地址给aa,也就是图上的771f9处
MSG aa //弹出aa 好的这段脚本已经完工了,那么还说了我们要将断点设置在771C4处的je跳转出,那么已经获取了771F9处的地址,要找到771C4很容易就找到了,因为两者相差35,我们只需要将771F9-35=771C4了,好的这里已经知道了思路。开始写下一段设断点脚本 [Asm] 纯文本查看 复制代码 SUB aa,35 //771C4的地址处
BP aa //在771C4处下断点
RUN //让程序跑一下,就会段在771C4处 这样程序就段在了771C4位置处,从771C4到771DC的magic jmp处只需要单步走4次就好了,单步到了magic jmp后不能让这个跳转跳,这时候我们可以改变ZF标志位为0,这样跳转就不会跳了
2
脚本实现单步走: [Asm] 纯文本查看 复制代码 STO
STO
STO
STO
MOV !ZF,0 //改变ZF标志位为0 通过上图可以看到,magic jmp没有跳过之后再进行单步4下就可以到达存放重定位地址的地方,这时候我们只需要取出[ebp+539]里面的值就好,因为里面存放的就是重定位地址。 [Asm] 纯文本查看 复制代码 STO //单步走四次
STO
STO
STO
MOV Relocation,ebp //将ebp地址给了Relocation变量
ADD Relocation,539//将Relocation+539
MOV Relocation,[Relocation] //这是取出来的就是ebp+539的值,程序中是70000
MSG Relocation //弹出这个70000
BC //清楚断点 好的,已经找到了重定位的地址之后,就可以向下发现规律,我们发现程序到达OEP之前的时候有一个popad,如下图所示:
3
那么就可以用这个当做关键点,查找popad: [Asm] 纯文本查看 复制代码 FINDOP eip,#61# //从当前位置opcode的61指令
MOV bb,$RESULT
MSG bb
BP bb //下断点 下好了断点之后将程序运行起来,段在上面的断点处只需要单步走4次就到了程序的OEP,然后退出脚本就可以了。 [Asm] 纯文本查看 复制代码 RUN //运行程序
STO //单步走
STO
STO
STO
BC //清楚断点
RET //返回 完整的脚本如下所示: [Asm] 纯文本查看 复制代码 VAR Relocation
VAR aa
VAR bb
FIND eip,#83E908D1E9#
MOV aa,$RESULT
MSG aa
SUB aa,35
BP aa
RUN
STO
STO
STO
STO
MOV !ZF,0
STO
STO
STO
STO
MOV Relocation,ebp
ADD Relocation,539
MOV Relocation,[Relocation]
MSG Relocation
BC
FINDOP eip,#61#
MOV bb,$RESULT
MSG bb
BP bb
RUN
STO
STO
STO
STO
MSG "欢迎来到OEP,By:BattleHeart"
BC
RET
程序运行结果: 这是第一个Msg弹出来的是查找的sub ecx,0x8;shr ecx,1后的eip的位置:
4
第二个msg是重定位地址
5
第三个msg就是弹出的popad的地址处:
6
这样点击确认后就到了程序的OEP处;
7
| 
发表于 2014-10-29 23:10
|
发表于 2014-10-30 09:26
