脱壳-PECompact v1.66

最新推荐文章于 2023-07-19 22:31:58 发布
最新推荐文章于 2023-07-19 22:31:58 发布
阅读量909 收藏
点赞数

前言

在练习脱壳.
这个壳特点:
* 在OEP处少代码, 需要自己在OEP处补齐. 少的代码在OEP之前都能看到. 这是所谓的偷代码.
* 在OEP处脱壳后, ImpRec找不到IAT. 需要自己搜索指令来找到IAT项.

记录

查壳

Detect It Easy => Borland Delphi(-)[-]
PEID => 什么都没找到 *
RDG => PECompact v1.66

查找OEP

用ESP定律

004C3550    50              push    eax
004C3551    68 30ED4800     push    0048ED30
004C3556    C2 0400         retn    4


0048ED30    55              push    ebp
0048ED31    90              nop
0048ED32    8BEC            mov     ebp, esp
0048ED34    90              nop
0048ED35    B9 07000000     mov     ecx, 7
0048ED3A    90              nop
0048ED3B    6A 00           push    0
0048ED3D    6A 00           push    0
0048ED3F    90              nop
0048ED40    90              nop
0048ED41    49              dec     ecx
0048ED42  ^ E9 8EFCFFFF     jmp     0048E9D5


0048E9C7    0000            add     byte ptr [eax], al
0048E9C9    0000            add     byte ptr [eax], al
0048E9CB    0000            add     byte ptr [eax], al
0048E9CD    0000            add     byte ptr [eax], al
0048E9CF    006A 00         add     byte ptr [edx], ch
0048E9D2    6A 00           push    0
0048E9D4    49              dec     ecx
0048E9D5  ^ 75 F9           jnz     short 0048E9D0                   ; 跳到这里来了, 如果这里作为OEP要将前面的代码补上

输入新OEP代码

Address    Size       Owner      Section    Contains      Type   Access    Initial   Mapped as
00400000   00001000   NfoViewe              PE header     Imag   R         RWE
00401000   000A2000   NfoViewe   XtreaM     code          Imag   R         RWE
004A3000   00023000   NfoViewe   .rsrc      SFX,data,res  Imag   R         RWE
004C6000   00001000   NfoViewe   .rsrc      imports       Imag   R         RWE

0048xxxx在代码段(XtreaM)
004Cxxxx在其他段(.rsrc)
必须将004C3550开始的3句话搬到代码段

如果从0048E9C7作为OEP, 正好留了8个字节.
看看将前面欠的语句搬过来, 是否8个字节是否能放下. 
试过了,放不下.
0048E9D5下面也放着代码没空隙.

0048ED30~0048ED42中间还空着5个字节.
004C3550 主要语句就是push eax, 那就将 004C3550的push eax搬到0048ED30.重新组织一下, 将多余的nop去掉, 空间就够了

重新运行程序, 当运行到0048ED30时, 直接将旧代码抹掉, 键入新代码, 然后脱壳.
将 0048ED30 作为OEP, 将0048ED30~0048ED42填充为NOP, 再输入下面的新代码

0048ED30 新的代码为:
push eax 
push ebp
mov ebp, esp
mov ecx, 7
push 0
push 0
dec ecx
jmp 0048E9D5

新代码码好了
0048ED30    50              push    eax                      ; 0048ed30 new OEP
0048ED31    55              push    ebp
0048ED32    8BEC            mov     ebp, esp
0048ED34    B9 07000000     mov     ecx, 7
0048ED39    6A 00           push    0
0048ED3B    6A 00           push    0
0048ED3D    49              dec     ecx
0048ED3E  ^ E9 92FCFFFF     jmp     0048E9D5
0048ED43    90              nop
0048ED44    90              nop
0048ED45    90              nop
0048ED46    90              nop                              ; 原来的语句结尾, 可以看出空间足够.

脱壳

在0048ED30处, 用ollyDump脱2个版本(不勾选RebuildImport, 勾选RebuildImport)
直接运行脱壳后的2个版本,都是报错的.

修复IAT

ImpREC , 输入OEP = 0008ED30, Click “AutoSearch”.

---------------------------
Found something!
---------------------------
Found address which may be in the Original IAT. Try 'Get Import'.
(If it is not correct, try RVA: 00001000 Size:000A2000)
---------------------------
确定   
---------------------------

RVA = 00092018
SIZE = 00000004
去看一下IAT. =>00492018, 都是0, 说明ImpREC没找到IAT.

手工查找IAT

调用API时, 一般都是 call xx

00402BF0    E8 17E6FFFF     call    0040120C                 ; jmp to kernel32.CloseHandle

调用到的API处再跳到IAT表项内容

0040120C  - FF25 0C324900   jmp     dword ptr [49320C]       ; kernel32.CloseHandle

代码段为00401000开始
从00401000开始, 2进制字符串搜索 FF25
搜到了IAT项

004011F9   .  54 49 6E 74 6>ascii   "TInterfacedObjec"
00401209   .  74            ascii   "t"
0040120A      8BC0          mov     eax, eax
0040120C   $- FF25 0C324900 jmp     dword ptr [49320C]       ;  kernel32.CloseHandle
00401212      8BC0          mov     eax, eax
00401214   $- FF25 08324900 jmp     dword ptr [493208]       ;  kernel32.CreateFileA
0040121A      8BC0          mov     eax, eax
0040121C   $- FF25 04324900 jmp     dword ptr [493204]       ;  kernel32.GetFileType


00401388   $- FF25 84314900 jmp     dword ptr [493184]       ;  kernel32.LocalAlloc
0040138E      8BC0          mov     eax, eax
00401390   $- FF25 80314900 jmp     dword ptr [493180]       ;  kernel32.LocalFree
00401396      8BC0          mov     eax, eax
00401398   $- FF25 7C314900 jmp     dword ptr [49317C]       ;  kernel32.VirtualAlloc
0040139E      8BC0          mov     eax, eax
004013A0   $- FF25 78314900 jmp     dword ptr [493178]       ;  kernel32.VirtualFree
004013A6      8BC0          mov     eax, eax
004013A8   $- FF25 74314900 jmp     dword ptr [493174]       ;  kernel32.InitializeCriticalSection
004013AE      8BC0          mov     eax, eax
004013B0   $- FF25 70314900 jmp     dword ptr [493170]       ;  ntdll.RtlEnterCriticalSection
004013B6      8BC0          mov     eax, eax
004013B8   $- FF25 6C314900 jmp     dword ptr [49316C]       ;  ntdll.RtlLeaveCriticalSection
004013BE      8BC0          mov     eax, eax
004013C0   $- FF25 68314900 jmp     dword ptr [493168]       ;  ntdll.RtlDeleteCriticalSection


004036BC   $- FF25 14324900 jmp     dword ptr [493214]       ;  user32.GetKeyboardType

00481C74   $- FF25 50384900 jmp     dword ptr [493850]       ;  UpdSyste.ShowUpdateDialog

用插件”Analyze This”分析一下.连续搜索FF25(CTRL+L), 看到最后一个CAll地址为004036BC

统计IAT范围

第一个Call为 jmp dword ptr [49320C], IAT地址49320C
最后一个Call为 jmp dword ptr [493850], IAT地址为493850
查看IAT地址, 已经找到正确的IAT了

0049320C  7C809BD7  kernel32.CloseHandle
00493210  00000000
00493214  77D311DB  user32.GetKeyboardType
00493218  77D2C908  user32.LoadStringA
0049321C  77D507EA  user32.MessageBoxA
00493220  77D2C8B0  user32.CharNextA
00493224  00000000
00493228  77DA7AAB  advapi32.RegQueryValueExA
0049322C  77DA7842  advapi32.RegOpenKeyExA
00493230  77DA6C17  advapi32.RegCloseKey
00493234  00000000
00493238  770F4880  oleaut32.SysFreeString
0049323C  770FA3EC  oleaut32.SysReAllocStringLen

向ImpREC填入IAT搜索参数
OEP = 0008ED30
IAT RVA = 0009320C // IAT开始地址为0049320C
IAT SIZE = 00000644 // 493850 - 49320C
click “Get Imports”

得到的IAT列表正确
这里写图片描述

IAT修复

点击”Fix Dump”, 对ollyDump脱壳出的2个版本进行IAT修复.

测试

测试时, 2个程序都报错:应用初始化失败

---------------------------
od_dump1_.exe - 应用程序错误
---------------------------
应用程序正常初始化(0xc000007b)失败。请单击“确定”,终止应用程序。 
---------------------------
确定   
---------------------------

重建PE

对ImpRec修复过的2个版本, 用LordPE重建PE, 设置导入表修复选项.
这里写图片描述

这里写图片描述
经过PE重建后, 2个版本中有一个正常运行了.
这个版本是用OllyDump不带引入表重建的版本.

备注

算IAT size时, 弄小了, 前面还有一些(取到一个IAT后, 在Memory窗口前后翻一下, 确定一下RVA和size, 范围弄大点都没关系, 可以在ImpREC中将无效的IAT剪掉).
调整IAT Info RVA and Size后, ImpREC fix.
运行修复完的版本,确实2个都不能运行.
但是经过PETools重建PE后, 2个都可以正常运行了.
不像IAT Info RVA and Size弄小时, PE重建后, 只有一个版本能正常运行.

LostSpeed
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
目前最全插件最好的PEID查壳工具(汉化版)
05-04
解压到用中文的文件夹下就可以实现PEID的汉化 目前来说这个是最全插件最新数据的版本了
PEiD查壳工具
10-29
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
20145332卢鑫 恶意代码分析
weixin_30301449的博客
03-31 118
20145332卢鑫 恶意代码分析 实验内容 恶意代码静态分析 1.使用网站进行分析 分析实验二中生成的病毒程序: 因为生成后才想到名字问题,本来是20145332.exe,扫描时改成了bd5332.exe 通过分析发现,该程序加了壳,是由UPolyX v0.5加的。 可以建立到一个指定的套接字连接,是网络连接 可以自行删除注册表键以及注册表键值 可以看出生成它的IP的一部分以及连接端口号 2...
再战加密壳-通过加壳工具加壳的程序
sxr__nc的博客
12-10 904
程序运行: 这个加壳程序在使用Die查壳的时候,查不出来壳,但是用PEid查的时候显示有壳但是又查不出具体是什么壳.(很奇怪,我也不知道是什么类型的壳,毕竟是加壳程序加的,但是实现原理是加密IAT的方式) 接下来正式脱壳: 还是遵循一把的脱壳方式,先找OEP,找到OEP之后脱壳: (通过找大跳转的方式进行寻找) 找到大跳转之后,直接运行过去准备脱壳: 但是,之这个时候进行脱壳是存物的,虽然我...
如何软件破解它的原理解析如何去操作(实践一个小软件第二集)
weixin_44001135的博客
07-19 638
我们要清楚,我们现在找到的关键代码的位置是验证后的结果的位置,我们的目标是找到验证中的关键代码位置,肯定是先验证才有结果,所以我们必须要往上找。(有编程基础的朋友注意下,每个程序中的代码的执行不是完全一行一行按顺序执行的,也就是说OD里你看到的程序代码不是从最上面一行一行执行的,在代码中会有很多跳转指令,导致程序代码是跳来跳去执行的。看到红色箭头指的地方了吧,原来是VC,现在变成了UPX,UPX是一种壳的名字,你现在无法知道这个软件是什么语言编写的了吧。老大是PEID,老二是DIE64,老三是OD。
PEID检测不出来的壳的脱法详解
12-23
PEID检测不出来的壳的脱法详解. 文件
PEiD--什么都发现
跃然实验室
06-09 4911
什么都发现 加密或加壳
脱壳基础知识入门
zacklin的专栏
05-14 3649
现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳。越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加壳了,因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛。壳发展到今天,强度越来越高了,将许多人挡在门外,使得
八种方法脱PECompact壳
Lorezon的博客
06-30 1251
注:文中涉及到的方法、例子等均来源于52pojie社区,学习过程中总结方便以后阅读 方法一:单步跟踪 F8跟进,遇到跑飞的Call就F7进入 遇到sysenter也会跑飞,同样F7进入,之后单步跟,即可找到OEP 方法二:ESP定律法 单步跟进,发现右侧ESP突变,数据窗口跟随,然后硬件访问>word 运行,之后删除硬件访问,之后单步跟进 方法三:下BP VirtualFree断点(一次运行) 下断点后Shift+F9运行,来到这里 之后F2取消断点,然后Alt+F9执行到用户代码 然后搜索
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下了 004010EC > 68 CC624000 push srtmaker.004062CC ; VB5!6&vb6chs;.dll 004010F1 E8 EEFFFFFF call srtmaker.004010E4 ; jmp 到 msvbvm60.ThunRTMain 004010F6 0000 add byte ptr ds:[eax],al 004010F8 0000 add byte ptr ds:[eax],al 004010FA 0000 add byte ptr ds:[eax],al 004010FC 3000 xor byte ptr ds:[eax],al 004010FE 0000 add byte ptr ds:[eax],al 00401100 40 inc eax ; srtmaker. 这就是OEP,程序入口 然后打开LordPE 完整转存 然后打开IMPortREC 到此已经脱好了,请各位爽吧
PECompact脱壳工具
04-18
很不容易找到的,最新版的,,可以一试哈,能脱PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能脱的壳,,我都用过了,强烈建议试用
pecompact-3.0.2.rar_PECompact
09-14
Just pe compact exe, its is not source: P
pecompact 2.x-3.x 最新脱壳
11-28
pecompact 2.x-3.x 最新脱壳
PECompact3.0.2.2-trace.out
06-28
PECompact3.0.2.2-trace.out
JavaScript介绍.zip
最新发布
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
上位机开发罗克韦尔abcip通信协议详解
04-23
上位机开发罗克韦尔abcip通信协议详解 1.注册会话命令详解 6500 0400 00000000 00000000 0000000000000000 00000000 0100 0000 响应 6500 0400 05000400 00000000 0000000000000000 00000000 0100 0000 6500:注册请求命令 0400:服务长度(0100 0000) 00000000:会话句柄 (由PLC生成) 00000000:状态默认 0000000000000000:发送方描述,默认0 00000000:选项,默认0 0100:协议版本,默认1 0000:选项标记,默认0
Microsoft SPY++ 工具及使用教程
04-23
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,提供系统进程、线程、窗口和窗口消息的图形视图。 Spy++ 有两个版本。 第一个版本,名为 Spy++ (spyxx.exe),用于显示发送到在 32 位进程中运行的窗口的消息。 例如,在 32 位进程中运行的 Visual Studio。 因此,可以使用 Spy++ 来显示发送到“解决方案资源管理器” 中的消息。 由于 Visual Studio 中大多数生成的默认配置都是在 32 位进程中运行的,因此如果已安装所需组件,则第一个版本的 Spy++ 就是在 Visual Studio 中的“工具”菜单上可用的那一个。 第二个版本,名为 Spy++(64 位)(spyxx_amd64.exe),用于显示发送到在 64 位进程中运行的窗口的消息。 例如,在 64 位操作系统上,记事本在 64 位进程中运行。 因此,可以使用 Spy++(64 位)来显示发送到记事本的消息。 详细的使用说明请见:https://blog.csdn.net/huang1600301017/article/details/138137
js导出excel封装【原生、配置式】 示例
04-23
导出excel示例
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面.zip
04-23
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面
减小VS2017编译exe文件的大小
05-24
4. 压缩可执行文件:使用一些工具可以对可执行文件进行压缩,例如UPX、PECompact等,可以将文件大小减小50%左右。 5. 移除不必要的资源:如果应用程序中包含了不必要的资源文件,例如图片、音频、视频等,可以将其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值