手动脱壳—dump与重建输入表(转)

文章中用到的demo下载地址:

http://download.csdn.net/detail/ccnyou/4540254

附件中包含demo以及文章word原稿

用到工具:

Ollydbg

LordPE

ImportREC

这些工具请自行下载准备

 

Dump原理这里也不多做描述,想要了解google it!常见的dump软件有LordPE,ProcDump,PETools等本文以LordPE为例

首先,打开 LordPE,由于此时机器上只有一个汉化版,也懒得花时间去找原版了。我们打开选项,设置成如图样子:

 

 

设置好后,在LordPE的进程窗口选择相关进程(这里以加了Aspack壳 的dumpDemo.exe为例),单击右键,执行【完整转存】DumpFull,保存即可,如果有Anti-Dump,先执行修正镜像大小(correct ImageSize),再dump full。保存名字默认为dumped.exe

 

 

重建输入表:

一般而言,一个加密的外壳,破坏原有的输入表是必有的功能。程序被dump出来后还需要重建输入表,例如这个程序dump后运行提示:

 

 

这里以ImportREC为例。在运行ImportREC之前,需要满足:

 

  • 目标文件完全被dump,另存为另一个文件
  • 目标文件正在运行中
  •  事先找到程序的真正入口(OEP)或IAT的偏移和大小

 

  

这里使用堆栈平衡原理找OEP,由于找OEP不是本文重点,这简单点说明过程:

1,OD载入,在执行完pushad后,看到各个寄存器被压进

0012FFA4h~0012FFC0h中,如图:

 

 

2,在OD中下硬件访问断点:

hr 12FFA4

3,按F9运行程序,外壳代码处理结束后,调用popad恢复现场环境,将访问这些堆栈。OD就会中断,此时离OEP不远了。中断如图:

 

 

其实如果了解其原理,可以在PE文件开始运行时,记下当时的ESP,假设是 12FFC4h,大多数程序第一句都是push 指令,就是对12FFC0h进行写入操作,因此对其设置硬件写断点,(hr 12FFC0),就可以方便地来到OEP附近了。

 

4,回到正题,跟到Retn后发现程序来到

00401700 /.  55            PUSH EBP

这里,按Ctrl+A让OD分析一下,发现这里就是真正入口点了,记录之。

 

 

好像有点离体了。。。。回到刚才正题,运行ImportREC,在下拉框中选择dumpdemo进程,然后在右边OEP中填入我们获取的OEP的RAV,这里我们输入1700(由于映像基质是00400000),然后点击 自动搜寻(IAT AutoSearch),让其自动检测IAT大小和偏移

如果出现如图对话框,表示输入的OEP发挥作用了

 

单击 【获取输入表】(Get Imports)按钮,让其自动分析IAT结构得到基本信息,如图:

 

这里有一个无效的,经过尝试右键菜单中的Trace level 1,2,3命令修复均无效,而且由图中数据也可以看出这个指针式无效的,我们展开,右键【删除指针数据】,现在全部都是有效的了。

5,修复已脱壳的Dumped.exe,选保证选中【增加新区段】(默认选中),再点击【修复转存文件】,打开Dumped.exe,此时不需要手工备份,程序将创建文件Dumped_.exe,此时OEP也被修正。我们运行Dumped_.exe,已经没有刚才那个错误提示了。功能完全正确,确定就是比刚才的大了点(原文件11.5k,这个修正后的36.0k),中间多了外壳数据和新增区段(.mackt)的输入表数据。

6,如果不舍得新增一段区段的空间,也可以在.rdata中选取一段空白,这里输入000029C0,在单击修复转存文件即可,这次修复后体积是32.0k,节省了4k  O__O”…

转载于:https://www.cnblogs.com/Fightingbirds/p/3172905.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值