全壳解剖二(Yoda 1.2)

最新推荐文章于 2022-11-17 21:44:17 发布
最新推荐文章于 2022-11-17 21:44:17 发布
阅读量1.7k 收藏
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9413231
版权

搁置了很久的文章了。。最近在逆一个压缩壳,忽然又想起了这篇。。




目标程序:用Yoda1.2加壳的asm程序

目的:    全过程分析该程序解压的过程

时间:    最近时间比较紧,每天分析100行左右吧

已分析: 解压壳代码+检测SoftIce+获取壳所需函数

-------------------7月22日-------------------

因为此壳在数月前我已经完全看过代码,所以以这个开始逆壳旅程再好不过了,如果遇到不懂的直接看源码就明白了

说下我写的东西的格式:在一段代码之前可能会说一些跟代码意思没直接关系的话,代码之后会解释代码的意思
每一部分代码会有明显空行。


                
OD载入程序

00404060 a>  60                      pushad
00404061     E8 00000000             call asm.00404066
00404066     5D                      pop ebp
00404067     81ED F31D4000           sub ebp,asm.00401DF3
正确找到壳数据起始位置,这个东西一般在加壳,感染PE时都会用到,详细参考:
http://blog.csdn.net/u010887709/article/details/9069511



接下来的代码单步走起来乱糟糟的,经常有很多无用的jmp,把花指令nop掉就清楚多了,方法是把jmp到的地址的前一个字节nop掉
例如 Jmp 401001,那你就把401000给nop掉,清楚的代码如下: 
0040406D     B9 7B090000             mov ecx,97B
00404072     8DBD 3B1E4000           lea edi,dword ptr ss:[ebp+401E3B]
00404078     8BF7                    mov esi,edi
0040407A     AC                      lods byte ptr ds:[esi]
0040407B     C0C0 18                 rol al,18
0040407E     90                      nop
0040407F     02C1                    add al,cl
00404081     2AC1                    sub al,cl
00404083     90                      nop
00404084     02C1                    add al,cl
00404086     34 6C                   xor al,6C
00404088     EB 01                   jmp short asm.0040408B
0040408A     90                      nop
0040408B     C0C0 58                 rol al,58
0040408E     90                      nop
0040408F     2C 8C                   sub al,8C
00404091     2AC1                    sub al,cl
00404093     2C D3                   sub al,0D3
00404095     EB 01                   jmp short asm.00404098
00404097     90                      nop
00404098     2AC1                    sub al,cl
0040409A     FEC8                    dec al
0040409C     2C 9A                   sub al,9A
0040409E     C0C8 E9                 ror al,0E9
004040A1     C0C0 BD                 rol al,0BD
004040A4     04 40                   add al,40
004040A6     EB 01                   jmp short asm.004040A9
004040A8     90                      nop
004040A9     34 22                   xor al,22
004040AB     AA                      stos byte ptr es:[edi]
004040AC   ^ E2 CC                   loopd short asm.0040407A
观察0040407A的esi值和004040AB处的edi(等于4040AE,也就是loopd的下一行)值,以及结合所有代码可以看出是在解密壳的代码
现在可以估计这个壳是先用一小段代码把壳代码解密,再用壳代码解密原程序 




004040AE    8B4424 20       mov     eax, dword ptr [esp+20]
004040B2    40              inc     eax
004040B3    78 0A           js      short 004040BF
004040B5    C785 78254000 0>mov     dword ptr [ebp+402578], 1
[esp+20]存放着一个kernel32库的地址,如果这个地址+1之后是负数则当前系统不是NT系列(不必深究)
如果不是NT系列则跳过下一行语句 


004040BF    8D85 ED1D4000   lea     eax, dword ptr [ebp+401DED]      ; 壳的入口
004040C5    B9 2A060000     mov     ecx, 62A                         ; 大小
004040CA    E8 41020000     call    00404310
{
00404310    8BF8            mov     edi, eax
00404312    33C0            xor     eax, eax
00404314    33DB            xor     ebx, ebx
00404316    33D2            xor     edx, edx
00404318    8A07            mov     al, byte ptr [edi]
0040431A    F7E2            mul     edx
0040431C    03D8            add     ebx, eax
0040431E    42              inc     edx
0040431F    47              inc     edi
00404320  ^ E2 F6           loopd   short 00404318
00404322    93              xchg    eax, ebx
00404323    C3              retn
}
004040CF    8985 74254000   mov     dword ptr [ebp+402574], eax
将入口处的一些代码算成一个数,放在[ebp+402574],所谓的校验和吧 






004040D5    8B85 6C254000   mov     eax, dword ptr [ebp+40256C]
004040DB    83E0 01         and     eax, 1
004040DE    74 40           je      short 00404120
004040E0    8DB5 E4264000   lea     esi, dword ptr [ebp+4026E4]
004040E6    8D85 9A1E4000   lea     eax, dword ptr [ebp+401E9A]
004040EC    8946 08         mov     dword ptr [esi+8], eax
004040EF    8BFD            mov     edi, ebp                         ; 保存下ebp以便还原
004040F1    8D85 02254000   lea     eax, dword ptr [ebp+402502]      ; SEH 处理程序
004040F7    33DB            xor     ebx, ebx
004040F9    50              push    eax
004040FA    64:FF33         push    dword ptr fs:[ebx]
004040FD    64:8923         mov     dword ptr fs:[ebx], esp
00404100    BD 4B484342     mov     ebp, 4243484B
00404105    66:B8 0400      mov     ax, 4
00404109    EB 01           jmp     short 0040410C
0040410B    90              nop                                      ; 本来是花指令
0040410C    CC              int3
0040410D    8BEF            mov     ebp, edi
0040410F    33DB            xor     ebx, ebx
00404111    64:8F03         pop     dword ptr fs:[ebx]
00404114    83C4 04         add     esp, 4
00404117    3C 04           cmp     al, 4
00404119    74 05           je      short 00404120                   ; 该指令后有5条花指令
开头三行在判断应不应该执行下面的代码(其实下面的代码如果真正自己去逆是逆不出什么意思的),如果你选了检测Softice的话
下面的代码就会执行,大体就是触发一个异常,在异常里面将eax置为4,出去异常之后(返回到异常指令的下一条指令)如果判断eax还是4的话就证明没有SoftIce
SoftIce检测原理详细参考:
http://blog.csdn.net/u010887709/article/details/9156285 




00404120    8B85 64254000   mov     eax, dword ptr [ebp+402564]
00404126    0340 3C         add     eax, dword ptr [eax+3C]
00404129    05 80000000     add     eax, 80                          ; 定位到数据目录的输入表项
0040412E    8B08            mov     ecx, dword ptr [eax]
00404130    038D 64254000   add     ecx, dword ptr [ebp+402564]      ; 输入表的RVA+基址
00404136    83C1 10         add     ecx, 10                          ; 跳过IID结构的开头16字节,来到FirstThunk
00404139    8B01            mov     eax, dword ptr [ecx]
0040413B    0385 64254000   add     eax, dword ptr [ebp+402564]
00404141    8B18            mov     ebx, dword ptr [eax]
00404143    899D F0264000   mov     dword ptr [ebp+4026F0], ebx      ; 得到LoadLibrary地址
00404149    83C0 04         add     eax, 4                           ; 下一个ImageThunk,就是GetProcAddress咯
0040414C    8B18            mov     ebx, dword ptr [eax]
0040414E    899D F4264000   mov     dword ptr [ebp+4026F4], ebx      ; 得到LoadLibrary地址
00404154    8D85 F8264000   lea     eax, dword ptr [ebp+4026F8]
0040415A    50              push    eax
0040415B    FF95 F0264000   call    dword ptr [ebp+4026F0]           ; kernel32.LoadLibraryA
00404161    8BF0            mov     esi, eax
00404163    8985 05274000   mov     dword ptr [ebp+402705], eax
00404169    8D85 09274000   lea     eax, dword ptr [ebp+402709]
0040416F    E8 96000000     call    0040420A
00404174    8985 1A274000   mov     dword ptr [ebp+40271A], eax
0040417A    8D85 1E274000   lea     eax, dword ptr [ebp+40271E]
00404180    E8 85000000     call    0040420A
00404185    8985 2D274000   mov     dword ptr [ebp+40272D], eax
0040418B    8D85 31274000   lea     eax, dword ptr [ebp+402731]
00404191    E8 74000000     call    0040420A
00404196    8985 44274000   mov     dword ptr [ebp+402744], eax
0040419C    8D85 48274000   lea     eax, dword ptr [ebp+402748]
004041A2    E8 63000000     call    0040420A
004041A7    8985 54274000   mov     dword ptr [ebp+402754], eax
004041AD    8D85 58274000   lea     eax, dword ptr [ebp+402758]
004041B3    E8 52000000     call    0040420A
004041B8    8985 64274000   mov     dword ptr [ebp+402764], eax
004041BE    8D85 68274000   lea     eax, dword ptr [ebp+402768]
004041C4    E8 41000000     call    0040420A
004041C9    8985 73274000   mov     dword ptr [ebp+402773], eax
004041CF    8D85 77274000   lea     eax, dword ptr [ebp+402777]
004041D5    E8 30000000     call    0040420A
004041DA    8985 80274000   mov     dword ptr [ebp+402780], eax
004041E0    8D85 84274000   lea     eax, dword ptr [ebp+402784]
004041E6    E8 1F000000     call    0040420A
004041EB    8985 90274000   mov     dword ptr [ebp+402790], eax
004041F1    8D85 94274000   lea     eax, dword ptr [ebp+402794]
004041F7    E8 0E000000     call    0040420A
004041FC    8985 A0274000   mov     dword ptr [ebp+4027A0], eax
00404202    8D85 A01F4000   lea     eax, dword ptr [ebp+401FA0]
00404208    50              push    eax
00404209    C3              retn
将输入表中的函数LoadLibrary和GetProcAddress拿出来,然后再利用这两个函数获取更多壳需要用到的函数
这些函数的名字你在OD可以看到。在最后push了一个地址(eax)然后retn,相当于直接跳到这个地址了



接着跳到的这个地址来看:


Hades1996
关注
专栏目录
yoda's Crypter 1.2源码分析
潜心学习
06-06 1868
以前觉得加技术的QQ群作用只有一个:闲聊,浪费时间 现在想找5,6个长期有时间学习逆向的朋友,在一个小群里面,有问题互相讨论(只讨论技术上的问题) 为了保持群的活跃,有要求如下 群成员要求 1 懂C语言 汇编,基础windows知识 2 懂得最基本的脱壳 破解知识 3 乐于助人 4 群成员之间互相认识,了解各自水平 有兴趣 加我的QQ 315,1028,21 (逗号是为了避免
yoda1.02壳伪装技术揭秘
HUA的专栏
12-23 3281
现在很多软件加壳之后,你用查壳软件一查,都显示yoda壳,这是为什么呢?这到底代表了什么壳呢? 打开peid的userdb.txt,里面查找一下yoda的特征码,发现居然从头到尾都是问号,看来这数据库将识别不到的都归为yoda了 所以一些vmp、tmd等强壳基本上都被伪装成这个了!! 更多精彩内容请访问www.zfsyhg.com
yoda's Crypter加壳软件
04-29
yoda's Crypter加壳软件
手动脱壳进阶第五篇yoda's Crypter V1.2
kingblue172的专栏
09-23 2072
手动脱壳进阶第五篇yodas Crypter V1.2软件后用PEID测NOTEPAD.EXE的壳为yodas cryptor 1.2我们把Od中的选项-调试选项-异常选项卡中除了忽略在内存访问异常不打勾,其余的全部打勾,请检查自己的Od设置。因为Yoda就一次内存异常是最后一次异常,其余的异常全部让OD忽略。 用OD载入程序后。确定一个入口点警告,Od提示程序加壳,选不继续分析,插件隐藏OD
脱壳-Yoda's Crypter(1.3)
谢绝(无视)留言与私信
02-14 975
前言练习 Yoda’s Crypter(1.3)的脱壳, 记录下流程点记录用异常计数法, F9后, 只需要1次(ALT+F9)程序跑起来. 在第一次F9后, 代码段下F2断点, (ALT+F9)跑起, 断下来后,就是OEP(在OD中, CTRL+A重新分析一下) 脱壳 用OllyDump插件Dump(不选重建导入表) IAT修复 在ImpREC中, 填好OEP后, AutoSearch,
yoda's Protector V1.03.3(默认保护)的脱壳方法和具体分析
11-01
描述对于破解爱好者对于程序壳的去发的工具。此工具就针对于yoda's Protector 壳的脱掉。
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
yoda's cryptor V1.2-V1.3脱壳脚本
12-20
来自于互联网!有版本限制,不行的话请手脱!
Yoda's Protector-开源
05-13
Yoda的保护器是一个免费的,开源的Windows 32位软件保护器。
yodaYoda-Ramda的Perl端口
02-05
`yoda` 是一个项目,它是 `Yoda-Ramda` 的 Perl 端口,旨在为 Perl 开发者提供与 Ramda 库相似的功能编程工具集。Ramda 是一个 JavaScript 库,专注于函数式编程,而 `yoda` 则将这种理念带入了 Perl 语言的世界。 ...
最新最好用的脱壳机80%都可以脱
01-28
最新最好用的脱壳机80%都可以脱 upx 0.5x-3.01 All Version BeRoEXEPacker aspack 1.x--2.x All Version PEcompact 0.90--1.76 2.06--2.79 All Version fsg v1.0 v1.1 v1.2 v1.3 v1.31 v1.33 v2.0 All Version vgcrypt v0.75 nspack 1.4--4.1 All Version expressor v1.0 v1.1 v1.2 v1.3 v1.4 v1.501 npack v1.5 v2.5 v3.0 dxpack v0.86 v1.0 !epack v1.0 !epack v1.4 bjfnt v1.2 v1.3 mew5 mew v1.0 v1.1 packman v1.0 PEDiminisher v0.1 pex v0.99 petite v1.2 v1.3 v1.4 v2.2 v2.3 All Version winkript v1.0 pklite32 pepack v0.99 v1.0 pcshrinker v0.71 wwpack32 1.0--1.2 upack 0.1--0.399 rlpack 1.11--1.19 exe32pack v1.42 kbys v0.22 v0.28 yoda's protector v1.02 v1.025 v1.03.2 v1.03.3 yoda's crypt v1.1 yoda's crypt v1.2 v1.3 v1.xModify XJ exestealth 2.72--2.76 hidepe v1.0 v1.1 jdpack v1.01 v2.1 v2.13 jdprotect 0.9b PEncrypt v3.0 v3.1 v4.0 Stone's PE Crypt v1.13 telock v0.42 v0.51 v0.60 v0.70 v0.71 v0.80 v0.85 v0.90 v0.92 v0.95 v0.96 v0.98 v0.99 ezip hmimys_pack v1.0 lamecrypt v1.0 depack polyene v0.01 dragonArmour EP Protector v0.3 PackItBitch trojan_protect anti007 v2.5 v2.6 mkfpack yzpack v1.1 v2.0 spack method1 spack method2 naked packer v1.0 upolyx v0.51 stealthPE v1.01 stealthPE v2.2 mslrh v0.31 v0.32 mslrh v0.2 == [G!X]'s Protect morphine v1.3 morphine v1.6 morphine v2.7 rlpack full edition EXEFog v1.1 ASDPack PEBundle Neolite
深思数盾Virbox Protector加壳工具
05-08
配合Virbox 云许可使用,需注册Virbox LM帐号配合使用。高安全强度加壳工具,支持的加壳类型: Java、UE4、.Net、Unity3D、C#、Python、Revit、Ruby、Lua、Erlang、MATLAB、LabVIEW、易语言、Perl、VB.NET、Go语言、C/C++、VB6.0、AutoCAD ARX、BCB6.0、Delphi全版本
万能自动脱壳机
11-07
自动脱壳,帮你完成破解之忧. upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 //以下三壳,没有解决dump问题 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器(跟kbys0.28一样) polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(其实就是expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect(传说中的mslrh0.2??) ASPack 2.12 FsG2.x UPX1.x-2.x的壳
PE加密保护--yoda‘s Crypter 1.2
02-23
**PE加密保护——深入理解Yoda's Crypter 1.2** 在计算机安全领域,PE(Portable Executable)加密保护是防止恶意软件分析和反病毒软件检测的重要手段。PE文件格式是Windows操作系统下可执行程序的标准格式,包括...
脱壳工具大汇总
樱*夜精灵
02-18 8211
脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加壳了,给破解带来非常大的不便,用这个软件可以检测出常见的各种壳,非常方便。更新签名库及部分插件。2008/1/1 DIE 0.64 另一款文件工具   http://hellspawn.nm.ru FileInfo v3.01r F
按照实际案例用常用的查壳去壳和加壳工具说明使用方法
m0_74208186的博客
11-17 1058
于是,加壳这个方法就成为木马免杀的主要方法之一,各种千奇百怪的壳应运而生(在百度以关键词“加壳软件”进行搜索,可以看到197万条搜索结果),加不同的壳就可以延伸不同的变种,有一种撒豆成兵的效果,所以加壳成为木马免杀的两种较常用的方法之一。这么做的好处是,可以提高壳的保护能力和伪装能力,抵抗杀毒软件的查杀,效果非常明显。盔甲是人类在战争中发现的一种保护全身的防御武器(盔保护的是头部,甲保护的是身体),穿上盔甲后的防护力大大增强,提高了战场上存活的几率,而同样有提高生存能力需求的木马,也打起了盔甲的主意。
{脱壳}压缩壳与加密壳收集(转)
weixin_34419326的博客
10-14 307
压缩工具(packers) ASPack 2.12 Regged!Aspack 2.12b Demo 一款非常强大的win 32压缩工具。http://www.aspack.com/ UPX v2.03upx-1.25-src.tar.gzupx-2.02-src.tar.gz 一款优秀并且免费的win 32经典压缩工具。http://upx.sourcefo...
逆向分析 工具、加壳、安全防护篇
有勇气的牛排博客
09-16 9109
逆向分析 工具、加壳、安全防护篇
带您走进七周七语言的程序世界
图灵教育
05-11 2698
编者按 这是一本2011年Jolt大奖图书,在本文中,截选了七门各不相同的语言的概况,这七门语言,无论教还是学,对我们而言都是一个宏伟目标。书中的代码足以深刻阐释每一门语言的精髓。这七门语言都有非常优秀的支持社区,这也是我选择它们的原因之一。本书为你铺就的学习途径...... 第一周:Ruby 有糖相伴好下药。——Mary Poppins 松本行弘(Yukihiro Matsumoto)大
cefsharp 美团yoda
最新发布
12-31
Yoda则是一家提供技术支持和创新解决方案的公司,专注于人工智能、云计算和数据分析等领域,致力于为企业提供高效的技术解决方案,帮助企业实现数字化转型和智能化升级。 从这三个概念来看,cefsharp是一个技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值