脱壳入门(六)之未知加密壳
一、找OEP
- 查壳:未知壳,编译器版本6.0(VC6.0或易语言程序)
- 找OEP:未知壳就只能先用OD看看了,壳的入口代码很熟悉了,用ESP定律就可以了,断下后
F7
单步到OEP
二、解密IAT
在IAT表下硬件写入断点,找到填充IAT的代码位置,注意,这个壳加了花指令混淆功能,程序断下后Ctrl+↑
定位上一条指令,然后分析
F7
单步运行,跟一遍IAT加密的流程,找三个关键点:获取API函数地址位置、加密IAT位置、填充IAT位置。因为壳有混淆功能,最好不要用F8
,很容易跑飞。
观察寄存器窗口,出现API函数名字符串,就要仔细分析了,中间跟飞过,关键指令Loads BYTE PTR DS:[ESI]
这条指令把esi指向的字符串逐字节加载到eax,直到最后一个字符加载完,我也没看到API函数地址,所以一直跟过了。最后发现EDX一直变化,这应该是一个HASH值,壳代码把API函数名计算出一个HASH值,接下来主要关注HASH值的动向就可以了。
eax=edx=hash值
esi=eax=hash值
关键地方到了,终于比较hash值了,你可以猜想一下,这是在干什么,壳代码肯定是在判断是不是LoadLibrary、GetProcAddress
等函数,找到条件跳转
找到跳转,这里是不相等跳转,要让他相等,在jmp处F4
,此时就已经找到相要的API函数的HASH值,接下来就是获取地址了,继续F7
跟踪
这里就是获取API函数地址的代码
混淆有点厉害,跟了几次,跳来跳去的,也没发现哪里加密就到填充IAT的地方了,怎么办呢?壳代码IAT加密部分简单的,直接修改加密代码就可以了,太厉害的看不懂,也不要紧,记住我们的终极目的,只要把获取到的API地址填回到IAT就可以,跳过中间加密部分。
三、使用OD脚本
OD、IDA都有专门的脚本,可以辅助我们脱壳,OD有专门的脚本编辑工具
OD脚本编写注意事项:所有的寄存器必须是小写eax
,大写会报错
基本思路:
- 保存获取到的API函数地址
- 在填充IAT后把函数地址再次填充进IAT,覆盖加密值
- 运行到OEP停止
//脚本程序
//1.定义变量
MOV dwGetAPIAddr, 001A36
MOV dwWriteAPIAddr,000897
MOV dwOEP,0047148B
MOV dwAlloc, 0047A37F
//2.去除所有断点
BPHWC //清除硬件断点
BPMC //清除内存断点
BC //清除软件断点
//3.设置断点
BPHWS dwAlloc,"x"
BPHWS dwOEP,"x"
//4.构造循环
LOOP0:
RUN
CMP dwAlloc,eip
JNZ tag_get
ADD dwGetAPIAddr, eax
ADD dwWriteAPIAddr,eax
BPHWS dwGetAPIAddr,"x"
BPHWS dwWriteAPIAddr,"x"
JMP LOOP0
tag_get:
CMP dwGetAPIAddr,eip
JNZ tag_write
MOV dwAddr,eax
JMP LOOP0
tag_write:
CMP dwWriteAPIAddr,eip
JNZ tag_oep
MOV [edx],dwAddr
JMP LOOP0
tag_oep:
CMP dwOEP,eip
JNZ LOOP0
MSG "到达OEP!"
四、Dump文件、修复文件
脱壳成功,效果图如下