黑鷹基地破解提高班脫殼總結(jié)課

1、黑鷹基地破解提高班脫殼總結(jié)課1、 自校驗bpx CreateFileAbpx GetFileSizebpx SetFilePointerbpx ExitProcessbpx rtcFileLen方法:開雙 OD ,一個打開加殼程序,一個打開脫殼修復(fù)后的程序,比較進(jìn)行。2、 脫殼2.1 Armadillo1.Debug-Blocker(阻止調(diào)試器 2.CopyMem-|(雙進(jìn)程 3.Enable Import Table Elimination (輸入表亂序 4.Enable Strategic Code Splicing(遠(yuǎn)地址跳 修改 VirtualAlloc 返回地址 , 使其把挪移的代碼

2、放到無用的殼區(qū)段; Dump后補(bǔ)上那個包含挪移代碼的殼申請的內(nèi)存段;5.Enable Nanomites Processing (通常所謂的 CC6.Enable Memory-Patching Protections(內(nèi)存校驗 使用到得輔助工具:Armlnline 0.96 FinalArmadillo Find Protected 1.3需要記錄的1、 程序入口頭兩個字節(jié)2、 OEP 入口頭兩個字節(jié)3、 Chlid PID4、 OEP Address5、 IAT Table總步驟分為1、 Go to OEP2、 Get TAT Table3、 Copy IAT4、 Paste IAT5、

3、Fix Import Table Elimination / Code Splicing6、 Dump7、 Fix Dump8、 Fix Nanomites ProcessingXP SP1 上基本上是 GetModuleHandleA+5 , XP SP2 是 GetModuleHandleA+9 ,目的只有一個 就是斷在 GetModuleHandleA 處的第一個 je 跳轉(zhuǎn)上2.2、 ACProtect不使用 ImportREC 脫殼一總的來說歸納為:兩斷點,五修改,兩記錄,兩糾正在 .idata/.data段下內(nèi)存寫入斷點,到達(dá) and dword ptr ds:esi+C,0處開始

4、進(jìn)行五修改,同 時記錄好輸入表的 RV A ,在 .text 段下內(nèi)存訪問 /F2斷點,到達(dá) OEP (有 Stolen Code另算 , 記錄好 OEP 地址,最后 LoadPE 脫殼,糾正 OEP ,糾正 Import Table2.3、 ASProtect1. Emulate standard system functions (易 2. Advanced Import protection (中 3. Stonlen OEP (脫 Asprotect 難點就在這,體力 +毅力 +技巧 +時間 4. SDK (脫 Asprotect 難點就在這,體力 +毅力 +技巧 +時間 5. 初始化

5、表與庫函數(shù) (Delphi 程序 (易手動甚為麻煩我們借助腳本來完成前面 2步需要注意的是:1. 腳本運行完成后,如果在 KERNEL32函數(shù)范圍內(nèi)有個別分散的函數(shù)沒有修復(fù) -GetProcAddress2. 如果不在 KERNEL32函數(shù)范圍內(nèi)并且集中有 2個以上包括 2個集中函數(shù)沒有修 復(fù),那就是需要修復(fù) SDK ?？偟牟襟E:1. 利用腳本處理 IAT ,到達(dá) Stolen OEP Start2. 脫殼修復(fù)抓取3. 分析 Stolen 區(qū)段(Stolen Code10、 VM2、 Route Check14. 補(bǔ)區(qū)段5. 修復(fù) Route Check6. 部分程序還有自校驗(如果不能運行的

6、話7. 若軟件使用的是 ASP 注冊機(jī)制,則 Patch 注冊名2.4、 DLL 脫殼方法步驟和 EXE 脫殼基本無異,唯一不同的是需要處理重定位1、 重定位基址一般情況下,都會有一個處理重定位基址的 Magic Jump,處理了 Magic Jump之后, 后面就不需要我們手動糾正基址了, 如果沒有處理 Magic Jump, 那么就需要手動糾正 基址為到達(dá) OEP 后 DLL 當(dāng)前的基址。另外,關(guān)于 DLL 脫殼的重定位基址的 Magic Jump怎么去找?一是通過前人經(jīng)驗積累,二是自己重新探索!2、 重定位基址Exp:UPXCtrl+S:xchg ah,alrol eax,10xchg

7、ah,al二add eax,esiExp:ASPackCtrl+Ssub ecx,8shr ecx,1Exp:ArmadilloBp GetTickCountCtrl+S:Push eaxXchg cx,cxPop eaxStr3、 快速修復(fù) DLL 的重定位表基本可以概括為:一運行,一關(guān)閉,一單步, Dump&Fix,利用 PETools 的重定位修 復(fù)插件修復(fù)2.5、 E 語言的問題目前 E 語言分兩個版本,第一版 PEID 查殼是 E language *(現(xiàn)在比較少了 ,第二版 PEID 查殼是 Microsoft Visual C+ 6.0 overlay。 問題就在第二版上

8、, 由于入口特征基本和 VC+6.0一摸一樣,所以, PEID 才會以為他是 Microsrft Visual C+ 6.0overlay。通常有兩種方法判 別:1、 搜索字符串, E 語言程序會用到兩個庫(krnln.fnr , krnln.fne 2、 OEP 一般是 3831所以,加了殼的 E 語言程序,脫殼后是需要處理附加數(shù)據(jù)的。2.6、關(guān)于 UPX+Armadillo雙層殼由于加殼壓縮需要顧及到兼容性問題,稍有設(shè)置不好,加殼程序無法運行!在壓縮殼里面 UPX 殼的兼容性是最好之一,所以,一般雙層殼里面的那一層有很多是 使用 UPX 。關(guān)于 UPX+Armadillo, 第一步, 我們

9、依然通過 Armadillo 常規(guī)方法處理 Magic Jump, 輸入表處理好之后,一般有 2種方法到達(dá) OEP 。1、 通過 Armadillo 常規(guī)到達(dá) OEP 的方法到達(dá) OEP ,當(dāng)然這個 OEP 只是里面一層 UPX 的入口,接下來就用 ESP 定律2、 忽悠區(qū)段法,直接在 UPX0(第 2區(qū)段 -00401000 下斷,運行即可,就會停 在 OEP 附近(此時是在 UPX0區(qū)段,或者單步走,或者找 popad->F4經(jīng)驗:1、 在處理 Magic Jump的時候,這一類 Armadillo, 基本是 GetModuleHandleA 中斷一次 便是返回時機(jī)2、 最后修復(fù)的時

10、候, IAT 一定是全部有效 (在 RV A 和 SIZE 準(zhǔn)確的前提下 , 為什么? (課后思考2.7、一些其他的相關(guān)經(jīng)驗三Bp VirtualAllocBp VirtualProtectBp VirtualFree手動修改 PE 頭手動修改入口(一般稱為入口加花手動修改區(qū)段值VFP 程序的專用加殼軟件mov dword ptr fs:0,espint3noppop dword ptr fs:0add esp 4PEID 顯示:ASPack 2.x(without poly->Alexey Solodovrrkov一般 OD 載入后,會提示“錯誤的或者未知的 32位執(zhí)行程序” ,然后,就中斷在系統(tǒng) ntdll 模塊的 retn 上,呈現(xiàn)出退出狀。解決方法:1、 換用英文 OD (不是所有的英文 OD 都可以2、 事先使用 UPack_Fixer修復(fù) PE 頭 (不是所有的在加殼狀態(tài)下可以修復(fù)的 在包含欄內(nèi),無注釋的那一個區(qū)段 F2, Shift+F9中斷后, Ctrl+B:0A F6 89 54,修改下 面的 je 為 Jmp(Magic Jump, IAT 即可全部有效。否則,事后需要打開加殼軟件,使用等級 3和插件修復(fù)。需要使用到以下資源工具ExeScope,PE Exporer,Reshacker, Restorator XN Reso