《逆向工程核心原理》20章内嵌补丁
内嵌补丁存在的原因
由于一些程序(运行时解压缩、加密文件)需要打补丁时,难以修改指定的代码
为了修改它们, 插入额外的“洞穴代码” (程序运行同时运行这个额外代码), 来达到打补丁的效果
原理图:
书中示例的patchme程序
确定
调试分析
EP:
10E9是输出对话框的函数,跟进看看
同样跟进里面的call……9B函数
发现三个用于解码循环语句
是一个解密代码(A3~AD)
对4010f5 ~ 4010f5+154(40f1248) 的区域进行 xor 44 解密
第二个解码
401007 ~ 401085 区域的代码 进行 xor 44 操作
第三个解码
对 4010f5 ~ 4010f5+154(40f1248) 区域 xor 11解码
所以到这里就看出来 f5 ~ 1248 区域的代码是经过双重加密的
加密之后return到call下一条指令(B5 push eax)
接着调试进入到call……1039函数
看到又有一个循环,但这个并不是解码循环,而是 验证刚才 4010f5 ~ 40f1248 中的内容是否被修改 的代码 :
eax 是 4010f5 ,mov 到 ebx 中,ebx = 4010f5 ,ecx 再赋值154,这就代表刚才的区域
add指令从 ebx (4010f5)地址中以四个字节读值,再将累加的结果保存到edx中
之后调试到这里
判断刚才用于验证的edx值是否等于上面的值,查看edx寄存器,没有修改字符串显然相等
之后jump到 1083 的位置再 jump 到OEP,用来运行对话框的
有一个关键函数,程序向其中传入了四个参数
INT_PTR DialogBoxParamA(
HINSTANCE hInstance,
LPCSTR lpTemplateName,
HWND hWndParent,
DLGPROC lpDialogFunc, //解码对话框程序什么什么玩意
LPARAM dwInitParam
);
所以push ……4010f5 是第四个参数,转到10f5,再往下看一些
显然经过刚才的过程,已经解码完毕
这便是我们要修改的字符串位置:
40110A
401123
进行内嵌补丁的操作
补丁设置的位置要求
- 文件的空白区域(补丁较少时)
- 扩展到节区后的部分
- 添加新节区存放”洞穴代码“
进行内嵌代码
通过了解上面的知识,在401280的后面添加洞穴代码:
copy书上的洞穴代码(ctrl+E 编辑):
注意:修改A8后发现多了一堆指令,不用理会,那不是代码而代表着字符串ReverseCore.Unpacked
修改文件:
在本将跳转到OEP的代码处,将 JMP 40121E 更改为 JMP 401280(洞穴);
但这样是不行的,因为这里的区域属于 ”A区“ (会进行解密(xor 7)的区域),我们修改的是加密后的指令,所以要将它加密回去:
E9 ^ 7 = EE
F8 ^ 7 = FF
01 ^ 7 = 06
不知道为什么不修改为加密前的指令也可以运行
到这里就成功了
但是我自己产生了几个无厘头的问题:
- od怎样保存修改后的文件?
- 还在调试的过程中想要将文件用HexEdior修改怎么办?
215
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
