史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-12-11, 07:42 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 來個新手學習脫殼的入門篇吧(結合娃娃的Wom新KG)

前 言
細細回憶,學習Crack技術已經快2個月了,期間我學會的東西遠比我以前任何一年內學的東西都多(專指電腦程序及系統瞭解情況)

說到學脫殼也是最近一個月的時間,開始總是到處詢問學習脫殼的方法,大多的答案就是看雪老大的書,誰也沒有正面回答過.於是就自己摸索,略有一點思路,老大們估計是認為理所當然,對於我們小菜來說還是說白了比較合適.
在這裡我就班門弄斧一回,其實主要也是說明 一些朋友能更快的摸到門,不至於對只會照貓畫虎,這些也是我當初我想問的那些問題的答案,都是些很基礎的東西,說得不好還請高手指正.

在此感謝老大提供了如此之好論壇供大家學習交流,還寫了一本很好的書指導像我這樣的菜鳥,也感謝網上眾多高手貢獻出自己的脫殼手記,特別感謝老大對本菜鳥的細心指點!

順便說一句,脫殼特別需要的是興趣和耐心,如果沒有耐心就......

廢話了一堆,我們下面進入正題
結合娃娃Wom的新KG說說一般面對一個殼的簡單分析方法

一、找OEP
脫殼的一般流程是:查殼->尋找OEP->Dump->修復
查殼沒什麼好說的,FI和PEiD,不幸的是FI和PEiD都不能識別出這個殼

我找OEP的一般思路如下:
先看殼是加密殼還是壓縮殼,壓縮殼相對來說容易些,一般是沒有異常,找到對應的popad後就能到入口,跳到入口的方式一般為
1、 jmp OEP
2、 push OEP
ret
3、 call OEP
當然也有其他的,如 je OEP等等,一般都是段之間的大跳轉,OD的反彙編視窗裡都是同一個段的內容,所以更好區別是否是段間跳轉
『這裡我說說關於F8(Step Over)和F7(Step in)的一般方法,粗跟的時候一般都是常用F8走,但是有些call是變形的Jmp,此時就需要F7代過,區別是否是變形Jmp的一個簡單方法是比較call的目標位址和當前位址,如果兩者離的很近,一般就是變形Jmp了,用F7走 』
對於加密殼,我的方法一般是用OD載入,鉤掉所有異常(不忽略任何異常,有時由於異常過多可以適當忽略一些異常),執行,數著用了多少次Shift+F9程序執行,顯然最後一次異常後,程序會從殼跳到OEP開始執行,這就是我們尋找OEP的一個關鍵,而對於這個殼可知是加密殼,Shift+F9 16次後執行,重來,Shift+F1 15次後到這
0042CBD3 ^\73 DC jnb short kill_luj.0042CBB1
0042CBD5 CD 20 int 20
0042CBD7 64:67:8F06 0000 pop dword ptr fs:[0] <---這裡
一般的處理方法是找到pop fs:[0]處下斷點或者是[esp+4]處下斷點,如果學習一下SEH的處理會更好些
0012FF58 0012FFE0 Pointer to next SEH record
0012FF5C 0042CBB7 SE handler <---這裡一般包含Anti-Debug的程式碼
0012FF60 0042CB8A RETURN to kill_luj.0042CB8A from kill_luj.0042CB90
我首選第一種,在0042CBD7處下斷之後,耐心的用F7走,因為變形call太多了...,關鍵注意一下往回跳的跳轉,尋找合適的位置跳出循環,有耐心的話你就能這樣走到OEP了
當然你也可以用另一個好東西——Trace,在Command裡來個tc eip<42b000 (42b000是當前段的起始位置,捲軸拖到最上面就能看到了,一般程序編譯的基位址為400000),OK,稍等一會我們就會停在這了(如果是ASPr可能要幾分鐘了)
00419F68 55 push ebp <----停在這
00419F69 8BEC mov ebp, esp
00419F6B 83C4 F0 add esp, -10
呵呵,OEP找到了
當然,這個用PEiD就能找到OEP,比較一下,是不是一樣,對於用PEiD找到的OEP可以直接G到OEP

此時就可以Dump了,用LordPE來Dump吧,由於有Anti-Dump,所以要先Correct Imagesize一下再Dump

二、修復IAT
由於加密殼對輸入表進行了重定位,所以現在的文件還不能正常使用,我們的目標就是恢復它,先用ImportREC,填入正確的OEP, IAT AutoSearch, Get Import,無效的不少,Show Invalid, 右鍵->Trace Level1(Disasm),失敗!!看來是只有自己恢復了。記下IAT的位址0001C128
好,重新執行,在OD的Dump視窗裡Go to Expression,到0041C128,盯著它默默數著按了多少次Shift+F9,在第13次後發現0041C128變了,而且和最後到OEP處一樣,可見剛才殼修復了IAT也順便破壞了IAT,於是我們重來,Shift+F9 12次以後按照前面說的方法跳過異常,這裡我們可以在0041C128處選項用記憶體斷點或硬體斷點,如Memory, On Write, On Access,Hardware,On Access等,我用Memory On Write,在殼幾次解碼IAT以後(0041C128處變了好幾次),我們可以到這裡
0042C7C7 60 pushad
0042C7C8 8327 00 and dword ptr ds:[edi], 0 <----停在這
0042C7CB 8B85 5B314000 mov eax, dword ptr ss:[ebp+40315B]
0042C7D1 40 inc eax
0042C7D2 0F84 A8000000 je kill_luj.0042C880
0042C7D8 80A5 04294000 FF and byte ptr ss:[ebp+402904], 0FF
0042C7DF 0F84 9B000000 je kill_luj.0042C880 <----這個位址跳轉就不被破壞
0042C7E5 80A5 05294000 FF and byte ptr ss:[ebp+402905], 0FF
0042C7EC 0F84 8E000000 je kill_luj.0042C880
0042C7F2 8B85 5F314000 mov eax, dword ptr ss:[ebp+40315F]
0042C7F8 8907 mov dword ptr ds:[edi], eax <-----看這裡,被破壞了
再看一下eax的值,
eax 77F525CA ntdll.DeleteCriticalSection
很不錯的樣子,IAT的重轉發IP已經找到了,正常修復IAT在哪裡呢??多跟幾回,就會發現是在這
0042C880 61 popad <---前面的je就是跳到這
0042C881 3107 xor dword ptr ds:[edi], eax <---OK,到這就好了
0042C883 58 pop eax
於是乎,修改je為jmp,IAT就不會被破壞了,再到OEP處用ImportREC修復就好了
這裡我說的似乎很輕鬆,其實這些東西要靠跟出來的,下面是一些我找到的關鍵點的分析

首次解碼IAT 0042c3ef
解碼 Dll Name 0042c4ea -> 解碼出正確 Dll Name
Clear dll Name 0042c645 -> 清除 Dll 的名字
0042c6ac -> 解碼出正確 First Thunk
0042c66d -> 解碼出正確 First Thunk
最後解碼IAT 0042c693 -> 解碼出正確的RVA 指向函數名
ReDirect 0042c7c8 -> Import 重轉發IP, 這裡會置0 必經路線
0042c7f8 -> Import 重轉發IP, 這裡指向殼裡
Normal 0042c881 -> 不重轉發IP時正常輸入表位址
Clear Function Name 0042c88d -> 清除 函數 名字
Repair IAT Over 0042c8fa -> BreakPoint 到這裡IAT修復完成

解碼 dll 名的那段程式碼沒仔細找,你如果有興趣可以找找

當然再有興趣的朋友可以自己增加程式碼修復IAT,這樣就可以不用ImportREC,手動修復IAT

一般來說殼到這就差不多了,不過也會有某些變態殼要修修補補,這就沒法說了也超出了本文的範圍了

後 記
我本人對於對於脫殼的思路大致就是如此,當然對於某些特殊殼還需要特殊待遇,我希望本文代給朋友的不是娃娃這個KG的殼如何脫,而是能更好的理解殼,理解如何分析殼,脫殼。也能更好的理解大俠手記裡一些不易理解的地方。例如本殼實際使telock的變形殼,如果忽略單步異常,5次Shift+F9執行,第4次按Shift+F9時就會修復和破壞IAT,從而能理解為什麼要在5-2=3次後搜尋IAT(這個問題我就迷茫過一陣子)

最後列一列我未玩過的殼,哪位大俠有相關的經驗交流交流
DBPE 國產精品,一直未動過,據說常會讓機器重啟……
SVKP 有時間玩玩
Armadillo 新的3.40 CopyMem II沒玩過,據說難度比以前更難了
Obsidium 分段加密的猛殼,好像還沒見過相關的手記
ACProtect 感覺和ASPr有點像,另一個國產精品,不過現在怎麼沒有中文的界面了?
這麼多沒玩過......,不寫了,沒前途

我的e-mail:shinegood@163.com,歡迎多多指教交流
QQ:31536111 Cracker為暗號
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
向 psac 送花的會員:
allenlao0927 (2007-12-25)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 01:17 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1