飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 6882|回复: 3

[转贴] ASPROTECT 2.x 脱壳系列(二)

[复制链接]
  • TA的每日心情
    开心
    2018-1-9 11:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2007-3-9 11:53:54 | 显示全部楼层 |阅读模式
    ASPROTECT 2.x 脱壳系列(二)
    Submitted by heartnn on 2006, March 14, 6:18 AM. 技术
    【目    标】:DVD Fab Gold 2.9.3.5
    【工    具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F
    【任    务】:简单的脱壳
    【操作平台】:Windows XP sp2
    【作    者】:LOVEBOOM[DFCG][FCG][US]
    【相关链接】:自己搜索下
    【简要说明】:其实这个版本的还是更先脱的,只是整理的时候更后整理出来。看这篇文章之前建议先看我的第一篇文章,否则有些过程可能不好理解。

    【详细过程】:
      话也不多说,直接入主题, 载入目标程序,去除调试标志,下断bp GetModuleHandleA,运行中断两次,然后执行到完全解压出壳的代码:
    00AF24AC    85C0            TEST    EAX, EAX                         ; 第二次返回到这里
    00AF24AE    75 07           JNZ     SHORT 00AF24B7
    00AF24B0    53              PUSH    EBX
    00AF24B1    FF95 F0314400   CALL    DWORD PTR SS:[EBP+4431F0]        ; kernel32.LoadLibraryA
    ......
    00AF25BB    8985 112F4400   MOV     DWORD PTR SS:[EBP+442F11], EAX
    00AF25C1    61              POPAD                                    ; 直接f4执行到这里
    00AF25C2    75 08           JNZ     SHORT 00AF25CC
    00AF25C4    B8 01000000     MOV     EAX, 1
    00AF25C9    C2 0C00         RETN    0C
    00AF25CC    68 A08FAE00     PUSH    0AE8FA0                          ; 解压完跳去壳的代码入口点
    00AF25D1    C3              RETN
    00AF25D2    8B85 DC304400   MOV     EAX, DWORD PTR SS:[EBP+4430DC]   ; kernel32.7C800000
    ......
    00AE8FA0    55               PUSH    EBP                              ; 壳代码入口点
    00AE8FA1    8BEC             MOV     EBP, ESP
    00AE8FA3    83C4 B4          ADD     ESP, -4C
    00AE8FA6    B8 988DAE00      MOV     EAX, 0AE8D98

    到了壳的入口点后直接搜索以下命令:
      MOV     DWORD PTR SS:[EBP], EAX
      PUSH    0A
    找到一处:
    00AE653F    8945 00          MOV     DWORD PTR SS:[EBP], EAX          ; 找到这里
    00AE6542    6A 0A            PUSH    0A
    00AE6544    E8 63C4FEFF      CALL    00AD29AC
    00AE6549    8BC8             MOV     ECX, EAX

    找到地址后,在上面的地址处下硬件断点,执行发生中断后取消硬件断点。

    再找一下存放相关数据的地址,我选择的是513100.找到后,写段保存数据代码:
    00AE653F   /EB 43            JMP     SHORT 00AE6584                   ; 找到这里
    00AE6541   |90               NOP
    00AE6542   |6A 0A            PUSH    0A
    00AE6544   |E8 63C4FEFF      CALL    00AD29AC
    00AE6549   |8BC8             MOV     ECX, EAX
    00AE654B   |038B E4000000    ADD     ECX, DWORD PTR DS:[EBX+E4]
    00AE6551   |8BD6             MOV     EDX, ESI
    00AE6553   |8BC3             MOV     EAX, EBX
    00AE6555   |E8 9EE5FFFF      CALL    00AE4AF8
    00AE655A   |FF0C24           DEC     DWORD PTR SS:[ESP]
    00AE655D   |03B3 E4000000    ADD     ESI, DWORD PTR DS:[EBX+E4]
    00AE6563   |833C24 00        CMP     DWORD PTR SS:[ESP], 0
    00AE6567  ^|0F87 55FEFFFF    JA      00AE63C2
    00AE656D   |53               PUSH    EBX                              ; 写好保存相关数据代码后,在这里下F2断点
    00AE656E   |E8 5D000000      CALL    00AE65D0
    00AE6573   |0183 EC000000    ADD     DWORD PTR DS:[EBX+EC], EAX
    00AE6579   |B0 01            MOV     AL, 1
    00AE657B   |83C4 24          ADD     ESP, 24
    00AE657E   |5D               POP     EBP                              ; 00ADBDC8
    00AE657F   |5F               POP     EDI                              ; 00ADBDC8
    00AE6580   |5E               POP     ESI                              ; 00ADBDC8
    00AE6581   |5B               POP     EBX                              ; 00ADBDC8
    00AE6582   |C3               RETN
    00AE6583   |90               NOP
    00AE6584   \53               PUSH    EBX                              ; 保护堆栈
    00AE6585    51               PUSH    ECX
    00AE6586    B9 00315100      MOV     ECX, 513100                      ; 保存相关数据的起始地址
    00AE658B    8339 00          CMP     DWORD PTR DS:[ECX], 0
    00AE658E    75 06            JNZ     SHORT 00AE6596
    00AE6590    C701 10315100    MOV     DWORD PTR DS:[ECX], 513110       ; 如果是第次则初始化,从513110处开始保存相关数据
    00AE6596    8B19             MOV     EBX, DWORD PTR DS:[ECX]          ; wsock32.#1139
    00AE6598    4D               DEC     EBP                              ; DVDFabGo.004EE4A6
    00AE6599    892B             MOV     DWORD PTR DS:[EBX], EBP          ; 保存相关地址
    00AE659B    83C3 04          ADD     EBX, 4
    00AE659E    8919             MOV     DWORD PTR DS:[ECX], EBX
    00AE65A0    45               INC     EBP                              ; DVDFabGo.004EE4A6
    00AE65A1    59               POP     ECX                              ; 00ADBDC8
    00AE65A2    5B               POP     EBX                              ; 00ADBDC8
    00AE65A3    8945 00          MOV     DWORD PTR SS:[EBP], EAX          ; 执行原壳的代码
    00AE65A6  ^ EB 9A            JMP     SHORT 00AE6542
    00AE65A8    C1E3 18          SHL     EBX, 18
    00AE65AB    31D8             XOR     EAX, EBX

    写好代码后在00AE656D处下F2断点,再F9运行,运行中断后,把修复代码还原回去,第三次出现机器码时写上注册信息:

    --------------------第一次----------------------
    0012FF1C   0012FF28  Pointer to next SEH record
    0012FF20   00ADC92E  SE handler
    0012FF24   00000002
    0012FF28   0012FF80  Pointer to next SEH record
    0012FF2C   00ADD739  SE handler
    0012FF30   0012FF78
    0012FF34   00AC0000
    0012FF38   00A80000
    0012FF3C   00ADBDC8
    0012FF40   00000000
    0012FF44   00B59E34  ASCII "6uCokAAAJmg="
    0012FF48   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF4C   C5FC9640
    0012FF50   41B05FF0
    0012FF54   F81D0E0A
    ......
    --------------------第二次----------------------
    0012FF1C   0012FF28  Pointer to next SEH record
    0012FF20   00ADCAD5  SE handler
    0012FF24   00B3045C
    0012FF28   0012FF80  Pointer to next SEH record
    0012FF2C   00ADD739  SE handler
    0012FF30   0012FF78
    0012FF34   00AC0000
    0012FF38   00A80000
    0012FF3C   00ADBDC8
    0012FF40   00000000
    0012FF44   00B59E34  ASCII "6uCokAAAJmg="
    0012FF48   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF4C   C5FC9640
    0012FF18   0012FF28  Pointer to next SEH record
    0012FF1C   00ADCEE7  SE handler
    0012FF20   00B3045C
    0012FF24   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF28   0012FF80  Pointer to next SEH record
    0012FF2C   00ADD739  SE handler
    0012FF30   0012FF78
    0012FF34   00AC0000
    0012FF38   00A80000
    0012FF3C   00ADBDC8
    0012FF40   00000000
    0012FF44   00B59E34  ASCII "6uCokAAAJmg="
    0012FF48   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF4C   C5FC9640
    ......
    --------------------第三次----------------------
    0012FF18   0012FF28  Pointer to next SEH record
    0012FF1C   00ADCEE7  SE handler
    0012FF20   00B3045C
    0012FF24   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF28   0012FF80  Pointer to next SEH record
    0012FF2C   00ADD739  SE handler
    0012FF30   0012FF78
    0012FF34   00AC0000
    0012FF38   00A80000
    0012FF3C   00ADBDC8
    0012FF40   00000000
    0012FF44   00B59E34  ASCII "6uCokAAAJmg="
    0012FF48   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF4C   C5FC9640

    第三次出现机器码后,在code段访问断点,shift+f9后中断在这里:
    00424CD7    8B4424 04        MOV     EAX, DWORD PTR SS:[ESP+4]        ; 中断在这里,[esp+4]保存注册名地址
    00424CDB    81EC 08020000    SUB     ESP, 208
    ......
    0012FF1C   00ADD190  RETURN to 00ADD190
    0012FF20   00AC3A29
    0012FF24   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF28   0012FF80  Pointer to next SEH record
    修改为:
    0012FF1C   00ADD190  RETURN to 00ADD190
    0012FF20   00479F70  ASCII "loveboom[DFCG][FCG][US]"
    0012FF24   00B59E00  ASCII "2A0FFBAB-CB5A"
    0012FF28   0012FF80  Pointer to next SEH record

    这样注册块就处理好了,再过几个异常后直接F2断到程序OEP:

    0047550E    55               PUSH    EBP                              ; OEP
    0047550F    8BEC             MOV     EBP, ESP
    00475511    6A FF            PUSH    -1
    ......
    00AC2544    85C0             TEST    EAX, EAX
    00AC2546    74 0A            JE      SHORT 00AC2552
    00AC2548    FF15 18A0AE00    CALL    DWORD PTR DS:[AEA018]
    00AC254E    09C0             OR      EAX, EAX
    00AC2550    74 01            JE      SHORT 00AC2553
    ......
    00D500EB    5C               POP     ESP
    00D500EC  - FF6424 FC        JMP     DWORD PTR SS:[ESP-4]    ;patch
    00D500F0    EB 01            JMP     SHORT 00D500F3



    再找一下找到输入表信息:
    IAT位置:47A000 SIZE:bb0


    PATCH 1:       00ac2548
    PATCH 2:      00D500EC
    PATCH 3:      4799b0(保存修复代码的起始地址)
    修改跳转地址为:      004799BF


    写上全部的修复代码:

    004799B0   .  60            PUSHAD                                   ;  保存堆栈
    004799B1   .  B9 10315100   MOV     ECX, 00513110                    ;  取出相关的地址
    004799B6   >  8B19          MOV     EBX, DWORD PTR DS:[ECX]
    004799B8   .  83FB 00       CMP     EBX, 0
    004799BB   .  74 15         JE      SHORT 004799D2                   ;  如果取完了则跳去修复jmp [addr]
    004799BD   .  FFE3          JMP     EBX                              ;  执行原CALL
    004799BF   .  8B15 08315100 MOV     EDX, DWORD PTR DS:[513108]       ;  取出call [addr]中的addr
    004799C5   .  66:C703 FF15  MOV     WORD PTR DS:[EBX], 15FF          ;  修改成call [addr]
    004799CA   .  8953 02       MOV     DWORD PTR DS:[EBX+2], EDX        ;  <&winmm.PlaySound>
    004799CD   .  83C1 04       ADD     ECX, 4
    004799D0   .^ EB E4         JMP     SHORT 004799B6
    004799D2   >  33C0          XOR     EAX, EAX
    004799D4   .  B0 E8         MOV     AL, 0E8                          ;  修复jmp [addr]
    004799D6   .  BF 00104000   MOV     EDI, 00401000                    ;  code段的起始地址
    004799DB   .  B9 A0990600   MOV     ECX, 699A0                       ;  大小
    004799E0   >  F2:AE         REPNE   SCAS BYTE PTR ES:[EDI]
    004799E2   .  83F9 00       CMP     ECX, 0
    004799E5   .  74 3C         JE      SHORT 00479A23                   ;  处理完则跳
    004799E7   .  8B1F          MOV     EBX, DWORD PTR DS:[EDI]
    004799E9   .  8D5C3B 04     LEA     EBX, DWORD PTR DS:[EBX+EDI+4]
    004799ED   .  81FB 00104000 CMP     EBX, 00401000                    ;  Entry address
    004799F3   .^ 72 EB         JB      SHORT 004799E0
    004799F5   .  81FB 94994700 CMP     EBX, 00479994
    004799FB   .^ 77 E3         JA      SHORT 004799E0
    004799FD   .  66:813B FF15  CMP     WORD PTR DS:[EBX], 15FF
    00479A02   .^ 75 DC         JNZ     SHORT 004799E0
    00479A04   .  817B 02 00A04>CMP     DWORD PTR DS:[EBX+2], <&advapi32>
    00479A0B   .^ 72 D3         JB      SHORT 004799E0
    00479A0D   .  817B 02 C0AB4>CMP     DWORD PTR DS:[EBX+2], 0047ABC0
    00479A14   .^ 77 CA         JA      SHORT 004799E0                   ;  让代码更精确些
    00479A16   .  66:C703 FF25  MOV     WORD PTR DS:[EBX], 25FF
    00479A1B   .  83C7 04       ADD     EDI, 4
    00479A1E   .  83E9 04       SUB     ECX, 4
    00479A21   .^ EB BD         JMP     SHORT 004799E0
    00479A23   >  B9 10315100   MOV     ECX, 00513110                    ;  再次精确些处理jmp [addr] **********这里是上篇中没有注意到的
    00479A28   >  8B19          MOV     EBX, DWORD PTR DS:[ECX]
    00479A2A   .  83FB 00       CMP     EBX, 0
    00479A2D   .  74 2E         JE      SHORT 00479A5D                   ;  操作完则跳
    00479A2F   .  66:8B03       MOV     AX, WORD PTR DS:[EBX]
    00479A32   .  66:3D FF15    CMP     AX, 15FF                         ;  判断是否为call [addr]
    00479A36   .  75 20         JNZ     SHORT 00479A58
    00479A38   .  66:8B43 FA    MOV     AX, WORD PTR DS:[EBX-6]          ;  如果是的话,判断前一句代码是否为jmp [addr]
    00479A3C   .  66:3D FF25    CMP     AX, 25FF
    00479A40   .  75 16         JNZ     SHORT 00479A58
    00479A42   .  8B53 FC       MOV     EDX, DWORD PTR DS:[EBX-4]
    00479A45   .  81FA 00A04700 CMP     EDX, <&advapi32.AdjustTokenPrivi>
    00479A4B   .  72 0B         JB      SHORT 00479A58
    00479A4D   .  81FA C0AB4700 CMP     EDX, 0047ABC0
    00479A53   .  77 03         JA      SHORT 00479A58
    00479A55   .  66:8903       MOV     WORD PTR DS:[EBX], AX            ;  如果是的话则认为这当前句也是jmp [addr]
    00479A58   >  83C1 04       ADD     ECX, 4
    00479A5B   .^ EB CB         JMP     SHORT 00479A28
    00479A5D   >  61            POPAD
    00479A5E   .  00            DB      00
    00479A5F   .  00            DB      00
    00479A60      689A4700      DD      dumped_.00479A68
    00479A64   .  00            DB      00
    00479A65      90            NOP
    00479A66      90            NOP
    00479A67      90            NOP
    00479A68   .  60            PUSHAD
    00479A69   .  8BC2          MOV     EAX, EDX                         ;  保存call [addr]中的addr到 513108处
    00479A6B   .  B9 C80B0000   MOV     ECX, 0BC8
    00479A70   .  BF 00A04700   MOV     EDI, <&advapi32.AdjustTokenPrivi>
    00479A75   .  F2:AF         REPNE   SCAS DWORD PTR ES:[EDI]
    00479A77   .  83EF 04       SUB     EDI, 4
    00479A7A   .  893D 08315100 MOV     DWORD PTR DS:[513108], EDI       ;  ntdll.7C930738
    00479A80   .  61            POPAD
    00479A81      FF15 18A0AE00 CALL    DWORD PTR DS:[AEA018]
    00479A87   .  C3            RETN
    00479A88      90            NOP

    再写上修复脚本:
    //fixed aspr 2.x
    var addr


    start:
      run

    l1:
      cmp eip,00D500EC
      jne l2
      mov addr,esp
      sub addr,4
      mov [addr],004799BF
      jmp start

    l2:
      ret


    写好后在00D500EC下硬件执行断点,在00479A5D下普通F2断点,再执行脚本。脱壳完毕!
    破解就像恋爱,这过程没有什么人能帮到你,什么都得靠自己一步一步的走。愿自己的恋爱能和脱壳一样风雨无阻:-).



    http://www.my.usmanbiz.com/blog/trackback.php?id=321
    PYG19周年生日快乐!
  • TA的每日心情
    慵懒
    2019-2-17 18:27
  • 签到天数: 33 天

    [LV.5]常住居民I

    发表于 2007-8-3 00:08:32 | 显示全部楼层
    楼主真强,呵,ASPR的壳还郁闷中,学习!
    PYG19周年生日快乐!
  • TA的每日心情
    无聊
    2017-3-9 21:22
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2007-8-2 19:16:54 | 显示全部楼层
    /:001 /:001 /:001 /:001 /:001
    PYG19周年生日快乐!
  • TA的每日心情
    奋斗
    2023-12-2 20:17
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2007-8-7 14:58:22 | 显示全部楼层
    风雨无阻,谢谢楼主
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表