吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16078|回复: 43
收起左侧

[原创] 手工脱壳 eXPressor1.8

  [复制链接]
estelle 发表于 2010-1-18 15:28
本帖最后由 estelle 于 2010-1-30 14:25 编辑
工具平台:Vsitasp2、OllyDbg、Petool 、ImpREC1.7
设置SOD全选 
[code]
断点 VirtualProtectEx , F9 运行

75FF1DC3 >  8BFF            MOV EDI , EDI
75FF1DC5    55              PUSH EBP
75FF1DC6    8BEC            MOV EBP , ESP
75FF1DC8    FF75 14         PUSH DWORD PTR [EBP+0X14]
75FF1DCB    FF75 10         PUSH DWORD PTR [EBP+0X10]
75FF1DCE    FF75 0C         PUSH DWORD PTR [EBP+0X0C]
75FF1DD1    FF75 08         PUSH DWORD PTR [EBP+0X08]
75FF1DD4    6A FF           PUSH 0XFF
75FF1DD6    E8 FFBD0200     CALL 0X7601DBDA                          ; kernel32.VirtualProtectEx
75FF1DDB    5D              POP EBP
75FF1DDC    C2 1000         RETN 0X0010
禁用断点VirtualProtectEx
搜索 特征码 不多解释了 看前辈的教程吧 这里就是所谓的魔幻跳转

E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 85 

00A12EA5    E8 8FEDFFFF     CALL 0X00A11C39
00A12EAA    83C4 04         ADD ESP , 0X04
00A12EAD    85C0            TEST EAX , EAX
00A12EAF    0F85 87000000   JNE 0X00A12F3C //魔幻跳转
C6 00 E8 8B 45 D4 40 89 45 D0 50 E8 
00A132F3    C600 E8         MOV BYTE PTR [EAX] , 0XE8
00A132F6    8B45 D4         MOV EAX , DWORD PTR [EBP-0X2C]
00A132F9    40              INC EAX
00A132FA    8945 D0         MOV DWORD PTR [EBP-0X30] , EAX
00A132FD    50              PUSH EAX
00A132FE    E8 03000000     CALL 0X00A13306
00A13303    01EB            ADD EBX , EBP
00A13305    0B8B 04240FB6   OR ECX , DWORD PTR [EBX-0X49F0DBFC]
00A1330B    0001            ADD BYTE PTR [ECX] , AL
00A1330D    04 24           ADD AL , 0X24
00A1330F    C3              RET
分别在 00A12EAF ' 00A132F3 ' 2处下F2断点
程序中断在
00A12EA5    E8 8FEDFFFF     CALL 0X00A11C39
00A12EAA    83C4 04         ADD ESP , 0X04
00A12EAD    85C0            TEST EAX , EAX
00A12EAF    0F85 87000000   JNE 0X00A12F3C  //中断在此处
修改为 Jmp 0X00A12F3C 
恢复VirtualProtectEx 断点F9 运行 再次中断
75FF1DC3 >  8BFF            MOV EDI , EDI
75FF1DC5    55              PUSH EBP
75FF1DC6    8BEC            MOV EBP , ESP
75FF1DC8    FF75 14         PUSH DWORD PTR [EBP+0X14]
75FF1DCB    FF75 10         PUSH DWORD PTR [EBP+0X10]
75FF1DCE    FF75 0C         PUSH DWORD PTR [EBP+0X0C]
75FF1DD1    FF75 08         PUSH DWORD PTR [EBP+0X08]
75FF1DD4    6A FF           PUSH 0XFF
75FF1DD6    E8 FFBD0200     CALL 0X7601DBDA                          ; kernel32.VirtualProtectEx
75FF1DDB    5D              POP EBP
75FF1DDC    C2 1000         RETN 0X0010
注意堆栈窗口 
0012F66C    FFFFFFFF  |hProcess = FFFFFFFF
0012F670    004CD148  |Address = eXPresso.004CD148 右键转存到数据窗口
0012F674    00000004  |Size = 4
0012F678    00000040  |NewProtect = PAGE_EXECUTE_READWRITE
0012F67C    0012FD28  \pOldProtect = 0012FD28
004CD148  000FD5CA  收.
004CD14C  000FD5D6  终.
004CD150  000FD5E8  枵.
004CD154  000FD5FE  .
004CD158  000FD614  ?.
004CD15C  000FD62C  ,?.
004CD160  000FD63E  >?.
删除断点 VirtualProtectEx  F9运行几次 程序中断 00A12EAF
004CD148  7603A411  ?v     kernel32.lstrcmpW
004CD14C  76043BCE  ?v     kernel32.GlobalFindAtomA
004CD150  7607AEC7  钱v     kernel32.GlobalGetAtomNameA
004CD154  7603B27E  ~?v     kernel32.GetModuleFileNameW
004CD158  76039414  ?v     kernel32.InterlockedDecrement
004CD15C  76037F8F  ?v     kernel32.GetThreadLocale
iat 正确的解密出来了 ,那就取消断点00A12EAF F9运行 程序中断在
00A132F3    C600 E8         MOV BYTE PTR [EAX] , 0XE8  //中断在这里
00A132F6    8B45 D4         MOV EAX , DWORD PTR [EBP-0X2C]
00A132F9    40              INC EAX
00A132FA    8945 D0         MOV DWORD PTR [EBP-0X30] , EAX
00A132FD    50              PUSH EAX
查看数据窗口 发现绝大多数的iat 都解密出来了 但是还有2个函数没有解密出来 
004CD31C  7603CCDB  厶v     kernel32.MultiByteToWideChar
004CD320  00A11905  ?               //1处
004CD324  7603C905  ?v     kernel32.GetCurrentProcess
004CD37C  760122BE  ?v     kernel32.CreateFileMappingA
004CD380  760368F0  餳v     kernel32.MapViewOfFile
004CD384  7603AD55  U?v     kernel32.VirtualAlloc
004CD388  00A118B8  ??            //2 处
004CD38C  7603A9C1  俩v     kernel32.WriteFile
004CD390  76038BFB  麐v     kernel32.IsBadReadPtr
004CD394  7603A995  暕v     kernel32.UnmapViewOfFile
菜鸟没啥办法只能重复操作 当解密到 
004CD31C  7603CCDB  厶v     kernel32.MultiByteToWideChar
恢复VirtualProtectEx 断点F9 运行 F8 继续跟踪
01742E30   /75 2C             JNE 0X01742E5E       //修改成JMP 0X01742E5E
01742E32   |E8 03000000       CALL 0X01742E3A
01742E37   |EB 02             JMP 0X01742E3B
01742E39   |F7C3 C745FC05     TEST EBX , 0X05FC45C7
01742E3F   |197401 EB         SBB DWORD PTR [ECX+EAX-0X15] , ESI
01742E43   |01BB 6A048D45     ADD DWORD PTR [EBX+0X458D046A] , EDI
01742E49   |FC                CLD

发现 004CD320  iat 已经正确的解密出来 
004CD31C  7603CCDB  厶v     kernel32.MultiByteToWideChar
004CD320  7603903B  ;?v     kernel32.GetProcAddress
004CD324  7603C905  ?v     kernel32.GetCurrentProcess
004CD328  7601C5AC  v     kernel32.GetVersion
004CD32C  7603D006  ?v     kernel32.GetCurrentThread
当ait 解密到 004CD384  7603AD55  U?v     kernel32.VirtualAlloc 继续跟踪
017451E7   /74 27             JE 0X01BE5210  改成跳转
0174525A   /0F85 9C000000     JNE 0X01BE52FC 改成跳转
发现 004CD388  iat 已经正确的解密出来 
004CD388  7603AE8D  嵁v     kernel32.CloseHandle
017432F3   下断点F9运行 所有的iat 都解密完毕  现在把iat 会写到text段  查看iat 的开始 
004CCFFC  00000000  ....
抄袭某牛的一段脚本
var iatadd
var iattx
var begin
mov begin,eip
start:
mov iatadd,[ebp-18]
mov iattx,eax
ESTO
cmp eip,begin
jne end
mov [iattx],15ff
find 004ccffc,iatadd
mov iatadd,$RESULT
add iattx,2
mov [iattx],iatadd
jmp start
end:
MSG "ok"
004A4225    E8 88C20000       CALL 0X004B04B2                          ; eXPresso.004B04B2
004A422A  ^ E9 16FEFFFF       JMP 0X004A4045                           ; eXPresso.004A4045
在程序4A4225处下段 程序运行出现nag界面点进去 程序中断在OEP  petool 完全转存 ImpREC1.7
修复IAT ,运行测试 OK 。
附件脱壳后的文件 Unpack.rar (1.07 MB, 下载次数: 66)

附上去掉nag

004ADB0D    83E0 01         AND EAX,1    //mov al,1
004016B7    F705 14485000 0>TEST DWORD PTR DS:[504814],4000000
多次检测 所以修改 【504814】 =4000000
00414CC4   |90              NOP  //原 call eax
00414CC5   |90              NOP
00414EDF    68 BCFD4C00     PUSH 4CFDBC                              ; Estelle[UpK] //ps的用户名

0044BBA0   /75 2E           JNZ SHORT 0044BBD0                       ; Unpack.0044BBD0   //jmp 0044BBD0
0044BBA2   |68 C4694D00     PUSH 4D69C4                              ; Unregistered version of eXPressor
0044BBA7   |8D8424 A8020000 LEA EAX,DWORD PTR SS:[ESP+2A8]
0044BBAE   |6A 40           PUSH 40
0044BBB0   |50              PUSH EAX
0044BBB1   |E8 04430500     CALL 0049FEBA                            ; Unpack.0049FEBA
0044BBB6   |68 30694D00     PUSH 4D6930                              ; This program was protected by an Unregistered version of eXPressor - Software Protection System!\r\nThis software is not licensed for distribution!
0044BBBB   |8D8C24 F4020000 LEA ECX,DWORD PTR SS:[ESP+2F4]
0044BBC2   |68 00020000     PUSH 200
0044BBC7   |51              PUSH ECX
0044BBC8   |E8 ED420500     CALL 0049FEBA                            ; Unpack.0049FEBA
0044BBCD   |83C4 18         ADD ESP,18
0044BBD0   \F78424 3C020000>TEST DWORD PTR SS:[ESP+23C],80000000

免费评分

参与人数 1威望 +1 收起 理由
wgz001 + 1 精品文章!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2010-1-18 15:36
感谢凉水哥来吾爱破解发布作品.
ZeNiX 发表于 2010-1-18 15:39
 楼主| estelle 发表于 2010-1-18 15:45
感谢版主管理 加分和 评价  菜鸟只是继续完成某牛的下半部分罢了 没啥技术含量
cjteam 发表于 2010-1-18 19:16
彪悍的教程
missviola 发表于 2010-1-18 20:12
[s:235]很不错的教程,支持一下lz大牛~~
ikeart 发表于 2010-1-18 21:00
很感谢楼主的手工脱壳的教程.
linwenlin 发表于 2010-1-18 21:17
谢谢楼主的教程 ,好好学习
wuhanqi 发表于 2010-1-18 22:24
回复 1# estelle


    讨厌,又是脚本,俺们这种菜鸟不会咋办
紫色 发表于 2010-1-18 22:27
:)eee呵呵 我也学着看脚本吧
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 14:53

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表