ACProtect Professional 1.3C 主程序脱壳(1)(图)
互联网 发布时间:2008-10-08 19:01:32 作者:佚名 
我要评论
我要评论脱壳过程感觉与Unpacking Saga的那个UnpackMe没有太大的不同。最明显的一点是,其中的异常多了很多。大部分是固定模式的int 3解码。因为一开始打算全程跟,所以一边跟一边修改去除junk code的IDC script,写OllyScript脚本,并用WinHex把解出的代码贴到ACProtect_Fixed.exe,在
脱壳过程感觉与Unpacking Saga的那个UnpackMe没有太大的不同。最明显的一点是,其中的异常多了很多。大部分是固定模式的int 3解码。因为一开始打算全程跟,所以一边跟一边修改去除junk code的IDC script,写OllyScript脚本,并用WinHex把解出的代码贴到ACProtect_Fixed.exe,在IDA中用Load File|Reload the input file加载后对照。
如果在OllyDbg110C下忽略所有异常,运行时报:
1. 关于int 3解码
壳中有大量的int 3解码,一边执行一边解。具有相同的调用模式:
在int 3的SHE中(下面的div 0异常也是同一个SEH),当exception code为0x80000003时,在Dr0-Dr3中设置了新的值,即设置了4个硬件执行断点,就在紧临int 3下面的位置。这样执行到这4句,会触发4次异常。如果在这里F7过,SHE不会执行。
当由上面的4个断点引发异常时:
每次异常,会设置某个寄存器。4次异常处理必须执行,否则寄存器中没有正确值,下面的解码会失败。这样又顺便清除cracker的断点,是个不错的主意J。
结束异常处理后,开始解码。格式是一样的,用的register不同。这里可以得到起始地址(。
在jnz下面的地址F4,然后查看前面用于寻址的寄存器的值,减1就是解码结束地址。
解完后跟着一个div 0异常。只有anti-debug作用,直接跳过即可。
2. 避开IAT加密
在第16个int 3的解码过程中,隐藏了IAT加密。其实在OllyDbg的状态栏可以看到这附近有不少dll被加载了。
有4处检查,决定是否特殊处理。在用GetProcAddress得到API的地址后,开始检查。是否为特殊的API?
是否为MessageBoxA或RegisterHotKey(这个比较少见J)? 是则替换api地址。
下面检查dll的映射地址是否为kernel32.dll或user32.dll。
这里通不过检查,就不做处理,直接把API的地址保存到IAT了。否则:
写IAT:
用脚本执行到这一段,patch掉4处的跳转,在处理完全部dll的地方下断,用ImportRec得到完整的IAT,全部有效。
size = 6E3828 – 6E3140 = 6E8
注意此时OEP不对。但IAT已经拿到了。先把tree保存起来。
3. 寻找OEP
得到IAT后,试试忽略所有异常,到这里已经可以在OllyDbg下执行了。试了一下,关闭其它异常,只留下int 3,还要shift-F9 60次才能运行L。这样一步步跟不把人累死。算了,先换省力的办法吧。
干脆,在执行目前的script停下后,忽略所有异常。对Code section下内存访问断点。
1) 406EDC,返回到壳
返回到壳代码,所以这是stolen code发出的call。
2) 46261C,返回到壳
3) 读操作断下
4) 462634,返回到壳
这里的代码也会引发异常。先remove内存访问断点,到73CEDD设断。断下后恢复内存访问断点。
5) 读操作断下
6) 又在462634,是循环吗?按第4步的办法处理
7)到站了J
这里是false OEP。下面的空间有限。可以看到,stolen codes中含有的call:
406EDC,46261C,462634(执行2次)。
在dump窗口中看:
OEP应该在4D9DE4。
如果在OllyDbg110C下忽略所有异常,运行时报:
1. 关于int 3解码
壳中有大量的int 3解码,一边执行一边解。具有相同的调用模式:
在int 3的SHE中(下面的div 0异常也是同一个SEH),当exception code为0x80000003时,在Dr0-Dr3中设置了新的值,即设置了4个硬件执行断点,就在紧临int 3下面的位置。这样执行到这4句,会触发4次异常。如果在这里F7过,SHE不会执行。
当由上面的4个断点引发异常时:
每次异常,会设置某个寄存器。4次异常处理必须执行,否则寄存器中没有正确值,下面的解码会失败。这样又顺便清除cracker的断点,是个不错的主意J。
结束异常处理后,开始解码。格式是一样的,用的register不同。这里可以得到起始地址(。
在jnz下面的地址F4,然后查看前面用于寻址的寄存器的值,减1就是解码结束地址。
解完后跟着一个div 0异常。只有anti-debug作用,直接跳过即可。
2. 避开IAT加密
在第16个int 3的解码过程中,隐藏了IAT加密。其实在OllyDbg的状态栏可以看到这附近有不少dll被加载了。
有4处检查,决定是否特殊处理。在用GetProcAddress得到API的地址后,开始检查。是否为特殊的API?
是否为MessageBoxA或RegisterHotKey(这个比较少见J)? 是则替换api地址。
下面检查dll的映射地址是否为kernel32.dll或user32.dll。
这里通不过检查,就不做处理,直接把API的地址保存到IAT了。否则:
写IAT:
用脚本执行到这一段,patch掉4处的跳转,在处理完全部dll的地方下断,用ImportRec得到完整的IAT,全部有效。
size = 6E3828 – 6E3140 = 6E8
注意此时OEP不对。但IAT已经拿到了。先把tree保存起来。
3. 寻找OEP
得到IAT后,试试忽略所有异常,到这里已经可以在OllyDbg下执行了。试了一下,关闭其它异常,只留下int 3,还要shift-F9 60次才能运行L。这样一步步跟不把人累死。算了,先换省力的办法吧。
干脆,在执行目前的script停下后,忽略所有异常。对Code section下内存访问断点。
1) 406EDC,返回到壳
返回到壳代码,所以这是stolen code发出的call。
2) 46261C,返回到壳
3) 读操作断下
4) 462634,返回到壳
这里的代码也会引发异常。先remove内存访问断点,到73CEDD设断。断下后恢复内存访问断点。
5) 读操作断下
6) 又在462634,是循环吗?按第4步的办法处理
7)到站了J
这里是false OEP。下面的空间有限。可以看到,stolen codes中含有的call:
406EDC,46261C,462634(执行2次)。
在dump窗口中看:
OEP应该在4D9DE4。
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25
防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27
彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论