- UID
- 2
注册时间2004-12-1
阅读权限255
最后登录1970-1-1
总坛主
TA的每日心情 | 开心 2024-12-1 11:04 |
---|
签到天数: 12 天 [LV.3]偶尔看看II
|
用ollydbg脱aspack2.12的壳
==============================================
作者 : 飘云[DFCG][CZG]
目标 : 用aspack2.12加了壳的记事本(版本号:5.0.2140.1)
使用工具 : aspack2.12, Ollydbg1.7b, LordPE, Import REConstructor1.42, PEiD0,7b
环境 : Windows 2000 Server SP2
===============================================
本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
===============================================
首先, 用aspack2.12把记事本加壳, 用PEiD看了一下, 说是"ASPack 2.x modified - DAMN"
打开Ollydbg, 加载notepad.exe, 弹出一个对话窗. 不用管他, 按确定. 接着弹出另一个对话窗告诉你程序可能被压缩过, 是否继续, 当然按“确定”咯!
程序停在入口处, 按F8单步执行:
01010001 > 60 PUSHAD //入口
01010002 E8 03000000 CALL notepad.0101000A //进去, 过了这个Call程序就执行了
01010007 -E9 EB045D45 JMP 465E04F7
0101000C 55 PUSH EBP
0101000D C3 RETN
0101000E E8 01000000 CALL notepad.01010014
0101000A 5D POP EBP
0101000B 45 INC EBP ; notepad.01010007
0101000C 55 PUSH EBP
0101000D C3 RETN
0101000E E8 01000000 CALL notepad.01010014 //进去~
一路F8, 直到:
0101012D 0BC9 OR ECX,ECX
0101012F 74 2E JE SHORT notepad.0101015F
01010131 78 2C JS SHORT notepad.0101015F
01010133 AC LODS BYTE PTR DS:[ESI]
01010134 3C E8 CMP AL,0E8
01010136 74 0A JE SHORT notepad.01010142
01010138 EB 00 JMP SHORT notepad.0101013A
0101013A 3C E9 CMP AL,0E9
0101013C 74 04 JE SHORT notepad.01010142
0101013E 43 INC EBX
0101013F 49 DEC ECX
01010140 ^EB EB JMP SHORT notepad.0101012D
01010142 8B06 MOV EAX,DWORD PTR DS:[ESI]
01010144 EB 00 JMP SHORT notepad.01010146
01010146 803E 07 CMP BYTE PTR DS:[ESI],7
01010149 ^75 F3 JNZ SHORT notepad.0101013E
0101014B 24 00 AND AL,0
0101014D C1C0 18 ROL EAX,18
01010150 2BC3 SUB EAX,EBX
程序在这里循坏, 我们可没时间等, 看来最远的地方就是0101015F, 在0101015F按F2下断, F9跳过后继续疯狂的F8:
010102B6 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422] ; notepad.01000000
010102BC 8B06 MOV EAX,DWORD PTR DS:[ESI]
010102BE 85C0 TEST EAX,EAX
010102C0 75 03 JNZ SHORT notepad.010102C5
010102C2 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10]
010102C5 03C2 ADD EAX,EDX ; notepad.01000000
010102C7 0385 49050000 ADD EAX,DWORD PTR SS:[EBP+549]
010102CD 8B18 MOV EBX,DWORD PTR DS:[EAX]
010102CF 8B7E 10 MOV EDI,DWORD PTR DS:[ESI+10]
010102D2 03FA ADD EDI,EDX
010102D4 03BD 49050000 ADD EDI,DWORD PTR SS:[EBP+549]
010102DA 85DB TEST EBX,EBX
010102DC 0F84 A2000000 JE notepad.01010384
010102E2 F7C3 00000080 TEST EBX,80000000
010102E8 75 04 JNZ SHORT notepad.010102EE
010102EA 03DA ADD EBX,EDX
010102EC 43 INC EBX
010102ED 43 INC EBX
010102EE 53 PUSH EBX
010102EF 81E3 FFFFFF7F AND EBX,7FFFFFFF
010102F5 53 PUSH EBX
010102F6 FFB5 45050000 PUSH DWORD PTR SS:[EBP+545]
010102FC FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
01010302 85C0 TEST EAX,EAX
01010304 5B POP EBX
01010305 75 6F JNZ SHORT notepad.01010376 //下去
01010307 F7C3 00000080 TEST EBX,80000000
0101030D 75 19 JNZ SHORT notepad.01010328
0101030F 57 PUSH EDI
01010376 8907 MOV DWORD PTR DS:[EDI],EAX ; msvcrt._wtol
01010378 8385 49050000 04 ADD DWORD PTR SS:[EBP+549],4
0101037F ^E9 32FFFFFF JMP notepad.010102B6 // 又回去了
看看这次是到什么地方? 可以走到01010384 :
01010384 8906 MOV DWORD PTR DS:[ESI],EAX
01010386 8946 0C MOV DWORD PTR DS:[ESI+C],EAX
01010389 8946 10 MOV DWORD PTR DS:[ESI+10],EAX
0101038C 83C6 14 ADD ESI,14
0101038F 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422]
01010395 ^E9 EBFEFFFF JMP notepad.01010285 //还是要回去继续循环
0101039A B8 20640000 MOV EAX,6420
那我们就大胆一点, 在0101039A下断, F9..... 拦住了. 继续F8(这里就不能像刚才那么疯狂了, 因为马上我们就要到达真正的入口)
0101039A B8 20640000 MOV EAX,6420
0101039F 50 PUSH EAX
010103A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]
010103A6 59 POP ECX
010103A7 0BC9 OR ECX,ECX
010103A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
010103AF 61 POPAD
010103B0 75 08 JNZ SHORT notepad.010103BA
010103B2 B8 01000000 MOV EAX,1
010103B7 C2 0C00 RETN 0C
010103BA 68 20640001 PUSH notepad.01006420 //这是什么?
010103BF C3 RETN //过了这里, 你会看到....
当执行到010103BF的时候, 我们就可以打开LoadPe, 找到notepad.exe的进程, 选择dump full, 保存为dumped.exe, 再用PEiD看看: 还是"ASPack 2.x modified - DAMN". 怎么回事呢?不要急,看下面的:
把Ollydbg关闭掉, 运行加了壳的notepad.exe, 然后打开Import REConstructor, 选择notepad.exe进程. 这时候显示程序的OEP是00010001, 填入我们刚才找到的00006420(因为ImageBase是01000000, 所以要减去). 按IAT AutoSearch按钮, 出现对话窗Found Something, 确定后再按Get Imports修复. 看来我们运气不错, 都自动完成了. 那么就按Fix Dump, 选择刚才保存的dumped.exe. 然后就可以退出Import REConstructor了.
再用PEiD一看dumped_.exe: "Microsoft Visual C++ 5.0". 哈哈! 运行一下呢? 也很正常. 最后用LoadPe的Rebuild PE 重建一下, 这时候文件的大小是69.6K, 算是完美脱壳了!
下一篇将是UPX壳教程! |
|