脱壳入门(六)之未知加密壳

脱壳入门(六)之未知加密壳

一、找OEP

1. 查壳：未知壳，编译器版本6.0(VC6.0或易语言程序)
   
2. 找OEP：未知壳就只能先用OD看看了，壳的入口代码很熟悉了，用ESP定律就可以了，断下后F7单步到OEP
   
   

二、解密IAT

在IAT表下硬件写入断点，找到填充IAT的代码位置，注意，这个壳加了花指令混淆功能，程序断下后Ctrl+↑定位上一条指令，然后分析

F7单步运行，跟一遍IAT加密的流程，找三个关键点：获取API函数地址位置、加密IAT位置、填充IAT位置。因为壳有混淆功能，最好不要用F8，很容易跑飞。

观察寄存器窗口，出现API函数名字符串，就要仔细分析了，中间跟飞过，关键指令Loads BYTE PTR DS:[ESI]这条指令把esi指向的字符串逐字节加载到eax,直到最后一个字符加载完，我也没看到API函数地址，所以一直跟过了。最后发现EDX一直变化，这应该是一个HASH值，壳代码把API函数名计算出一个HASH值，接下来主要关注HASH值的动向就可以了。

eax=edx=hash值

esi=eax=hash值

关键地方到了，终于比较hash值了，你可以猜想一下，这是在干什么，壳代码肯定是在判断是不是LoadLibrary、GetProcAddress等函数，找到条件跳转

找到跳转，这里是不相等跳转，要让他相等，在jmp处F4，此时就已经找到相要的API函数的HASH值，接下来就是获取地址了，继续F7跟踪

这里就是获取API函数地址的代码

混淆有点厉害，跟了几次，跳来跳去的，也没发现哪里加密就到填充IAT的地方了，怎么办呢？壳代码IAT加密部分简单的，直接修改加密代码就可以了，太厉害的看不懂，也不要紧，记住我们的终极目的，只要把获取到的API地址填回到IAT就可以，跳过中间加密部分。

三、使用OD脚本

OD、IDA都有专门的脚本，可以辅助我们脱壳,OD有专门的脚本编辑工具
OD脚本编写注意事项：所有的寄存器必须是小写eax,大写会报错

基本思路：

1. 保存获取到的API函数地址
2. 在填充IAT后把函数地址再次填充进IAT，覆盖加密值
3. 运行到OEP停止

//脚本程序
//1.定义变量
MOV dwGetAPIAddr, 001A36
MOV dwWriteAPIAddr,000897 
MOV dwOEP,0047148B
MOV dwAlloc, 0047A37F  

//2.去除所有断点
BPHWC             //清除硬件断点
BPMC              //清除内存断点
BC                //清除软件断点

//3.设置断点
BPHWS dwAlloc,"x"
BPHWS dwOEP,"x"

//4.构造循环
LOOP0:
RUN

CMP dwAlloc,eip
JNZ tag_get
ADD dwGetAPIAddr, eax
ADD dwWriteAPIAddr,eax
BPHWS dwGetAPIAddr,"x"
BPHWS dwWriteAPIAddr,"x"
JMP LOOP0

tag_get:
CMP dwGetAPIAddr,eip
JNZ tag_write
MOV dwAddr,eax
JMP LOOP0

tag_write:
CMP dwWriteAPIAddr,eip
JNZ tag_oep
MOV [edx],dwAddr
JMP LOOP0

tag_oep:
CMP dwOEP,eip
JNZ LOOP0

MSG "到达OEP！"

四、Dump文件、修复文件

脱壳成功，效果图如下