黑客技术之slv unpackme 脱壳
互联网 发布时间:2008-10-08 19:05:43 作者:佚名 
我要评论
我要评论其实壳本身不要紧,问题是vm里面有个校验。
sm同学手下留情,我勉强能搞一个运行正常的,没精力还原vm了。
在virutalfree的retn上f4, 直到[esp]是一个exe image内的地址f7返回:
0040FA91 B8 BE180000 mov eax, 18BE
0040FA96 BA 00004000 mov
其实壳本身不要紧,问题是vm里面有个校验。
sm同学手下留情,我勉强能搞一个运行正常的,没精力还原vm了。
在virutalfree的retn上f4, 直到[esp]是一个exe image内的地址f7返回:
0040FA91 B8 BE180000 mov eax, 18BE
0040FA96 BA 00004000 mov edx, slv_unpa.00400000
0040FA9B 03C2 add eax, edx
0040FA9D - FFE0 jmp eax 在jmp eax上f4 f7到oep: 004018BE 68 EA1AF500 push 0F51AEA
004018C3 - E9 EF01B500 jmp 00F51AB7
004018C8 CC int3
004018C9 CC int3 jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的: bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下: 0040FBB6 6A 40 push 40
0040FBB8 68 00100000 push 1000
0040FBBD 50 push eax
0040FBBE 6A 00 push 0
0040FBC0 FF13 call [ebx] ; kernel32.VirtualAlloc
0040FBC2 8BD0 mov edx, eax
0040FBC4 8BFA mov edi, edx
0040FBC6 8B4E FC mov ecx, [esi-4]
0040FBC9 F3:A4 rep movsb 往下走ecx=000151E9, 复制一个unpackme.exe到2.exe, 增加一个section header: vaddr=0x0022000
vsize=0x20000 加载2.exe在0040FBC2上f4把eax改成422000. 然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe
接着用imprec fixdump 生成 3.exe 一运行非法了, 点调试挂上od: 00422CCA 8910 mov [eax], edx//eax=00140688
00422CCC E9 0D0E0000 jmp 00423ADE 向上看全是屁股...啊不对, 全是花指令, 不过只有 EB, nop掉: 00422CA4 33C0 xor eax, eax
00422CAC AC lodsb
00422CB1 8B1487 mov edx, [edi eax*4]
00422CB7 33C0 xor eax, eax
00422CBD AC lodsb
00422CC1 8B0487 mov eax, [edi eax*4]
00422CCA 8910 mov [eax], edx
00422CCC E9 0D0E0000 jmp 00423ADE 看样子只是一个虚拟机指令, 好像丢掉东西了. 校验是哪里来的?
想法一:GetFileSize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.
想法二:在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?
联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header 加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问[400110]==1000
加载3.exe也中断了,[400110]==18BE
原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口. 解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动. 401000 ctrl r找到两处参考,都改401005 004011DA E8 21FEFFFF call 3.00401000
004011EC E8 0FFEFFFF call 3.00401000 修改这里的代码: 00401000 > /E9 B9080000 jmp 4.004018BE
00401005 |68 EA9C4200 push 4.00429CEA
0040100A -|E9 A82A0200 jmp 4.00423AB7 保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了. 不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,
结果跳到18be又DialogParam了 那么只好选择写保护了,用lordpe添加一个输入函数VirutalProtect 在oep下面找片空地写代码, 最后跳回18be
004018C8 > B8 00004000 mov eax, 00400000
004018CD 0340 3C add eax, [eax 3C]
004018D0 8D78 28 lea edi, [eax 28]
004018D3 50 push eax
004018D4 54 push esp
004018D5 6A 04 push 4
004018D7 6A 04 push 4
004018D9 57 push edi
004018DA FF15 1E304400 call [44301E] ; kernel32.VirtualProtect
004018E0 58 pop eax
004018E1 B8 00100000 mov eax, 1000
004018E6 AB stosd
004018E7 ^ EB D5 jmp 004018BE 把入口改成18c8,搞定收工.
0040FA96 BA 00004000 mov edx, slv_unpa.00400000
0040FA9B 03C2 add eax, edx
0040FA9D - FFE0 jmp eax 在jmp eax上f4 f7到oep: 004018BE 68 EA1AF500 push 0F51AEA
004018C3 - E9 EF01B500 jmp 00F51AB7
004018C8 CC int3
004018C9 CC int3 jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的: bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下: 0040FBB6 6A 40 push 40
0040FBB8 68 00100000 push 1000
0040FBBD 50 push eax
0040FBBE 6A 00 push 0
0040FBC0 FF13 call [ebx] ; kernel32.VirtualAlloc
0040FBC2 8BD0 mov edx, eax
0040FBC4 8BFA mov edi, edx
0040FBC6 8B4E FC mov ecx, [esi-4]
0040FBC9 F3:A4 rep movsb 往下走ecx=000151E9, 复制一个unpackme.exe到2.exe, 增加一个section header: vaddr=0x0022000
vsize=0x20000 加载2.exe在0040FBC2上f4把eax改成422000. 然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe
接着用imprec fixdump 生成 3.exe 一运行非法了, 点调试挂上od: 00422CCA 8910 mov [eax], edx//eax=00140688
00422CCC E9 0D0E0000 jmp 00423ADE 向上看全是屁股...啊不对, 全是花指令, 不过只有 EB, nop掉: 00422CA4 33C0 xor eax, eax
00422CAC AC lodsb
00422CB1 8B1487 mov edx, [edi eax*4]
00422CB7 33C0 xor eax, eax
00422CBD AC lodsb
00422CC1 8B0487 mov eax, [edi eax*4]
00422CCA 8910 mov [eax], edx
00422CCC E9 0D0E0000 jmp 00423ADE 看样子只是一个虚拟机指令, 好像丢掉东西了. 校验是哪里来的?
想法一:GetFileSize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.
想法二:在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?
联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header 加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问[400110]==1000
加载3.exe也中断了,[400110]==18BE
原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口. 解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动. 401000 ctrl r找到两处参考,都改401005 004011DA E8 21FEFFFF call 3.00401000
004011EC E8 0FFEFFFF call 3.00401000 修改这里的代码: 00401000 > /E9 B9080000 jmp 4.004018BE
00401005 |68 EA9C4200 push 4.00429CEA
0040100A -|E9 A82A0200 jmp 4.00423AB7 保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了. 不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,
结果跳到18be又DialogParam了 那么只好选择写保护了,用lordpe添加一个输入函数VirutalProtect 在oep下面找片空地写代码, 最后跳回18be
004018C8 > B8 00004000 mov eax, 00400000
004018CD 0340 3C add eax, [eax 3C]
004018D0 8D78 28 lea edi, [eax 28]
004018D3 50 push eax
004018D4 54 push esp
004018D5 6A 04 push 4
004018D7 6A 04 push 4
004018D9 57 push edi
004018DA FF15 1E304400 call [44301E] ; kernel32.VirtualProtect
004018E0 58 pop eax
004018E1 B8 00100000 mov eax, 1000
004018E6 AB stosd
004018E7 ^ EB D5 jmp 004018BE 把入口改成18c8,搞定收工.
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25
防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27
彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论