2012.01.06_lofullen_safengine(or shielden) 2.x IAT 修复脚本

最新推荐文章于 2022-10-22 20:58:05 发布
最新推荐文章于 2022-10-22 20:58:05 发布
阅读量2.4k 收藏
点赞数
分类专栏: Safengine 文章标签: 脚本 api c 娱乐

http://bbs.pediy.com/showthread.php?t=145226&highlight=Safengine

近段时间一直在研究这个传说中的猛壳,确实对于我们这种小菜鸟来说,真的好猛,入口点知道在哪里,可就是断不下来,断下后可恶的输入表不好修复,对我而言能分析代码其实就足够了,彻底脱壳对我来说也没什么实际意义,当然有哪位大牛有OEP的短法也请赐教。


但是这该死的 IAT 修复起来真要命,一直在  safengine 段中跟了好久也要不就是跟丢要不就是跟过。。这个 Nooby 这可恨!我恨死他了~但是说回来, safengine VM 的功底肯定没 VMP TMD 之类的强,毕竟他们靠这个吃饭的, safengine 做足了反调试、反DUMP、antiAnything的功夫,但是要想在 VM 界立足一个 nooby 大牛还是不够的。

最后希望广大壳友不要气馁,矛与盾总是步步紧逼的,越是有挑战性的壳,越是号称“最强”的壳,崩溃的速度越快。 safengine 这个壳做了很多宣传,用 10 万块来吸引眼球,并不是想证明他的壳有多强,只是一种炒作手段,最简单不过的手段,他一个 nooby 能抵抗千千万万的大牛吗?答案是肯定的,那就是“NO”!

=======================================================

求人不如求己是我一贯的作风。再也不做标题党!

经过仔细分析后,简单的写了中低复杂度的 IAT 修复脚本。

这种 复杂度的在SE壳中的 CALL 大概会占到 60% 左右,以下是 代码。

101A4AC9    50              PUSH EAX
101A4ACA    60              PUSHAD
101A4ACB    9C              PUSHFD
101A4ACC    B8 879A950B     MOV EAX,0B959A87
101A4AD1    BB B15F8304     MOV EBX,4835FB1
101A4AD6    03C3            ADD EAX,EBX
101A4AD8    8B00            MOV EAX,DWORD PTR DS:[EAX]
101A4ADA    33C3            XOR EAX,EBX
101A4ADC    874424 24       XCHG DWORD PTR SS:[ESP+24],EAX
101A4AE0    FF4424 28       INC DWORD PTR SS:[ESP+28]
101A4AE4    9D              POPFD
101A4AE5    61              POPAD
101A4AE6    C3              RETN <--- 难度最低的时候 EIP 到这里的时候 ESP 就是 API。

稍微再高一个级别的在 C3 处不返回 API,而是返回后到下面这里:

0944068B    68 F1893564     PUSH 643589F1
09440690    F71424          NOT DWORD PTR SS:[ESP]
09440693    813424 CA7659E7 XOR DWORD PTR SS:[ESP],E75976CA
0944069A    C3              RETN


也有可能是 RETN 4 的比如以下代码:

09440663    68 E03659E7     PUSH E75936E0
09440668    68 10718F6D     PUSH 6D8F7110
0944066D    F71424          NOT DWORD PTR SS:[ESP]
09440670    C10C24 05       ROR DWORD PTR SS:[ESP],5
09440674    C2 0400         RETN 4


所以脚本如下: 这是第一版,没有对 RETN 进行判断,随后会发一个完善一些的脚本,并且不再需要UIF修复,供菜鸟们学习。

代码: 
var codebase
var secode1
var secode2
var apiaddr
var calladdr
var fixaddr
var retaddr
var temaddr

var oep
var temeax
var temebx
var temecx
var temedx
var temebp
var temesp
var temesi
var temedi

mov codebase,10001000
mov secode1,1018d000
mov secode2,10317000
mov oep,eip
mov temeax,eax
mov temebx,ebx
mov temecx,ecx
mov temedx,edx
mov temebp,ebp
mov temesp,esp
mov temesi,esi
mov temedi,edi

mov eip,codebase

findcall:
find eip,#E8??????00#
cmp $RESULT,0
je exit
mov calladdr,$RESULT
GCI calladdr,DESTINATION
mov fixaddr,$RESULT
find fixaddr,#50609cb8????????#,8
cmp $RESULT,0
jne startfix //这里发现低复杂度 CALL,直接开始处理了
find fixaddr,#e9??????00#,5
cmp $RESULT,0
je nextcall
mov sejmp,$RESULT
GCI sejmp,DESTINATION
mov fixaddr,$RESULT
find fixaddr,#68????????9c81442404????????9d#,0f
cmp $RESULT,0
jne next // 高复杂度的暂时忽略

nextcall:
add calladdr,1
mov eip,calladdr
jmp findcall

startfix:
mov esp,temesp
mov eip,calladdr

findret:
sti
find eip,#C3#, 1  //第一阶段直接查找 RETN
cmp $RESULT,0
mov retaddr,$RESULT
je findret
gn [esp] // 如果有返回但是ESP 又不是 API的则进入第二阶段
cmp $RESULT,0
jne fixret

findret2:
sti
find eip,#C3#,1
cmp $RESULT,0
mov retaddr,$RESULT
jne findiat
find eip,#C2??00#,3 // 这里查 RETN 4\8\C\10 之类,第二版中会做判断,根据他来读取寄存器里的返回地址,并作为下一个 EIP
mov retaddr,$RESULT
cmp $RESULT,0
je findret2

findiat:
gn [esp] //分析 APIname
cmp $RESULT,0
je findret2

fixret:
mov apiaddr,[esp] // 直接 asm call APIAddress,用 UIF 修复就可以了
eval "call {apiaddr}"
asm calladdr,$RESULT

next:
add calladdr,1
mov eip,calladdr
mov esp,temesp
mov eax, 0
mov ebx, 0
mov ecx, 0
mov edx, 0
mov esi, 0
mov edi, 0
mov ebp, 0
jmp findcall

exit:
mov eip,oep
mov esp,temesp
mov edi,temedi
mov esi,temesi
mov ebp,temebp
mov eax,temeax
mov ebx,temebx
mov ecx,temecx
mov edx,temedx
ret
以下是复杂度高的:

10193E8A   /E9 08770400     JMP ms.101DB597


跳过来以后,会反复执行以下代码,听说有特征码,可我还没能找到。因为我的SE 是 2090 的

101DB597    68 D6339FA0     PUSH A09F33D6
101DB59C    9C              PUSHFD
101DB59D    814424 04 61137>ADD DWORD PTR SS:[ESP+4],6F7F1361
101DB5A5    9D              POPFD
101DB5A6    C3              RETN

再比这个高的复杂度最后加这种结构,其实说回来复杂度不同就是结合的问题而已。

0944068B    68 F1893564     PUSH 643589F1
09440690    F71424          NOT DWORD PTR SS:[ESP]
09440693    813424 CA7659E7 XOR DWORD PTR SS:[ESP],E75976CA
0944069A    C3              RETN

其实复杂度高度都可以用我的脚本跑起来的,但是不保证完全正确,有时会跟丢的。

另外提示下,其实SE 的反调试并不是想象的那么恐怖,用strongOD v0.4.5.810 轻松忽悠SE。如果被发现,Ctrl+F2 几次就可以。

本脚本只适合菜鸟使用~~~呵呵 只是娱乐而已
gold2008
关注
专栏目录
Safengine Protector脱壳脚本2021.txt
10-26
Safengine Protector脱壳脚本2021.txt
软件逆向工程脱壳分析
09-06
独立开发软件保护系统,深度了解脱壳的本质,提高软件逆向水平 中级班的课程大致分为前期PE文件格式的解析,中期保护壳的编写,后期实现脱壳,变异原理以及虚拟机保护原理 编写保护壳详细详解各种加密思路,防破解思路,以及反调试,PE格式等相关知识等,让自己对PE文件格式完美上升一个档次,文件格式又分为基础与应用,基础是次要,应用是主要,老师会深入浅出的带领同学们对PE文件格式进行各种应用,比如实现修复重定位完成DLL加壳,提取原入口点并且对这个入口点进行加密保护,以及对区段的各种加密手法与技巧,如何实现IAT保护.识别代码块保护学习这一门课程具有极强的功效!为自己后面脱壳打下坚实的基础
Safengine Shielden v2.3.7.0 驱动脱壳
pureman_mega的博客
10-28 6001
前言: 之前找工作的时候,注意到有个公司找windows驱动开发/逆向工程师,所以他们公司产品里面应该包含有驱动程序(呐,必须的学习一波)。首先,安装他们公司的相关产品,然后找到里面的驱动文件;一看驱动文件几百k,应该是加壳了(Safengine Shielden v2.3.7.0)。如下图: 脱壳过程: 文件丢进ida里面发现没法看,脱壳当然是不会脱壳的。嗯,先把驱动跑起来吧。创建服务,启动服务;驱动成功跑起来了。驱动程序运行之后,对应的会有一些数据产生:1,通过winObj类似工具...
win7讲述人修复_Safengine Shielden v2.40 IAT修复脚本编写(x64dbg)
weixin_31856441的博客
12-20 969
前言:首先感谢L4nce前辈写的“ 浅谈Safengine系列脱壳 ”,给了我很大帮助,让我开始入门脱加密壳。L4nce的这篇文章已经算是“巨人的肩膀”了,但我觉得仍有一些东西可以细写。由于是自己第一次研究脱壳写脚本,没有人指点,错误纰漏处还请指正包涵没看文章的务必先看看这篇文章 。其在 “浅谈Safengine系列脱壳”已经谈及的东西,这里就不细谈了,一笔带过。地址:浅谈Safengine...
Safengine Protector 最新脱壳脚本
01-11
Safengine Protector 最新脱壳脚本
修复IAT
qq_41071646的博客
09-14 1921
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
乐见Safengine licensor终于有了脱壳脚本
stereohomology
06-07 7569
[原创] 公布过SafengineChallenge悬赏壳的脚本及OLLYDBG  [复制链接]     twogun     9 主题 2 好友 25 积分 Lv.3 精华 1 热心 4 坛
IAT重定向的修复
zzx的博客
01-04 1335
有时候,一些强壳,仅仅定位到了iat表的位置,并且知道了大小,在importrec中也还是无法修复的,我们知道正常的iat表其中存放着各个函数的地址,而经过重定向的IAT表,其中并不是存放着地址,而是一个指针,这个指针,指向壳的某个内存空间中,然后在壳中代码片段将地址ret,这样的话,importrec就无法修复了,我们知道,正常的文件,他的iat表在未加载的时候是字符串名称,windows在加载
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1808
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
手动修复IAT
weixin_30402085的博客
06-17 782
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
SE脱壳相关.rar
09-01
包含 浅谈Safengine系列脱壳 Safengine Shielden v2.40 IAT修复脚本编写(x64dbg)及例子
Safengine Shielden V2.1.2.0 简体中文免费版
11-13
Safengine Shielden V2.1.2.0 简体中文免费版经过我们检查,是无病毒软件,请放心使用。 Shielden是一款免费的软件加密方案:Shielden入门级加密,包含软件授权系统,关键代码混淆、虚拟化,运行时反调试等功能,将以代码虚拟机为主,授权功能为辅助,提供入门级的软件加密安全方案,将解决由于使用过时、破解的保护软件所带来的无服务、无保障、无更新等问题,为非盈利性的免费版和处于成长期的共享版提供知识产权保护、专业级的抗逆向分析功能,并由Safengine技术支持团队支持,为软件的未来发展提供整套安全方案。此外,Shielden包含部分Safengine Protector和Safengine Licensor的功能性演示,其保护强度虽然不能满足商业软件保护的应用,但您可以不花一分钱体验Safengine系列商业软件产品提供的专业保护功能。 Shielden入特点:Shielden将不对保护后的软件做任何功能限制,如弹出提示窗口、访问服务器等等,推翻传统免费加密软件有广告、后门的“潜规则”。
逆向软件后,手把手教你如何修复IAT
最新发布
10-31
逆向软件后,教你手把手修复IAT
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
【脱壳修复】脱壳修复IAT
这个人很懒什么都没有留下
10-22 95
如果脱壳后没有秀发IAT那也只能在你的电脑上运行,无法在别人电脑上运行,因为IAT是为了提升软件的兼容性,软件启动后每次运行都会获取当前电脑的API函数地址,脱壳后就会损坏IAT也就无法获取机器的API函数地址。可以通过od 右键 查看所有模块调用 来查询目前程序所调用的API函数地址。
脱壳后的IAT修复
谢绝(无视)留言与私信
02-01 4753
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
C/C++ 导入表与IAT内存修正
CSDN
09-17 7364
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取到程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的节表和OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6242
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2902
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值