0x00 查壳
0x02脱壳
用OD打开程序准备脱壳
看到pushad,自然而然想到先用ESP定律尝试一下,发现行不通,下了ESP硬件断点之后程序直接运行起来了,那就换另一种方法:
首先在data段下软件断点,F9执行程序,断下来:
之后在text段,下断点,再让程序跑起来(F9)
断点命中:
可以看到,在这里命中一次断点,同时注意到两次pushad,比较可疑(怀疑是代码偷取的部分,记录这段代码
),之后再运行一次,断点命中:
再一次命中断点的时候,就已经到达OEP了,但是我们要注意一下,这个OEP处的代码,在最开始的查壳信息的时候,可以看到一些链接器的基本信息,根据我们的经验(经验之谈),一般的OEP处的代码,应该在push ebp
之类的,但是,这里直接push esi 感觉有点可疑,(也可以直接在这里dump尝试一下,会不会报错,感觉会报错),我们之前找到疑似偷取代码的地方,直接将该段代码 复制过来,修改一下EIP,进行dump
修改之后,在新的EIP的地方进行dump,会发现产生报错信息:
目前的情况就是 ,用内存镜像法可以找到OEP也可以找到被偷取的数据,但是没有办法dump下来脱壳,所以还是需要换方法,但是有这个过程也积攒了经验,接下来我们再试一下用异常的办法进行处理一下:(在第二次下断点的时候使用内存断点也解决不了这个问题,不太清楚是什么原因)
异常处理方法
设置异常选项:
程序重载之后,按shift+F9(忽略异常),直到最后一次异常(怎么判断异常是最后一次?程序跑起来之前就是最后一次呗)。、
到达最后一次异常之后,注意堆栈窗口,去SEH异常处理链的地方下内存访问断点,之后忽略异常继续让程序执行(Shift+F9)
之后就是通过对push ebp 指令进行 run跟踪 来找到 北投区的带吗,找到之后复制出来 再到OEP处粘贴回去,直接dump就好了。具体过程 详见:
https://0xdf1001f.github.io/2019/12/12/ACProtect-Stolen-Code-%E8%84%B1%E5%A3%B3/
总结:在本次脱壳过程中,使用了多种方法来进行脱壳,但是最关键的地方是代码偷取部分的寻找,其实相对于这个来说OEP反而不是很难,那么怎么意识到是发生了代码偷取呢?
1:我们要熟悉,用各类语言写出来的代码的OEP的特征
2:再程序运行过程中或着断电命中的时候,出现了连续几次的pushad或者popad ,有可能会发生代码偷取,这与被偷取的代码就是这些标志指令上边的代码
3:脱壳过程中尝试不同的方法,进行脱壳。尤其是最后一次异常法,个人觉得刚开始的时候 不容易想到(感觉异常比较烦),但是最后一次异常法的使用在脱壳的过程中 还是起了很大的作用
1788
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
