脱壳练习之未知壳(04)

最新推荐文章于 2023-08-09 20:32:56 发布
最新推荐文章于 2023-08-09 20:32:56 发布
阅读量648 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45574485/article/details/100136829
版权

1.第一步,查壳,无法识别出编译语言和linker是什么
在这里插入图片描述
2.将文件用od打开,可以看到pushad和pushfd,f8两步之后对esp下硬件断点。
在这里插入图片描述
3.f9执行到刚下的断点,f8继续,会看到popad,继续f8,到下一个jmp,f8进入jmp,发现下一条指令是jmp eax,f8继续跟,这时,出现的界面是否觉得很熟悉,没错,这里就是oep,记住这个oep的地址:47148B。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
4.看到oep下面最近的那个call没,选中它,f4执行过去,然后右键——数据窗口跟随——内存地址,然后再左下角内存区域那边,右键——长型——地址。可以发现存的地址不像正常的地址,是IAT填充的
在这里插入图片描述
5.点击左下角,如图对内存下硬件访问断点
在这里插入图片描述
6.下好断点以后,重新开始运行程序,根据多次调试的结果,我推测程序有通过异或对断点隐藏的机制,所以需要先f9一次,发现程序直接跑完了,这时再ctr +f2,重启程序,f9,断到第三句的call,再f9,断到ntdll,再f9就断到IAT被填充的地址,这里只取偏移,因为其地址是通过申请内存得到的,可以看到偏移为:0897(偏移=当前地址—基址)
在这里插入图片描述
7.基址怎么来的?当然是用virtualalloc申请的。来,跟上。首先在od最下面一栏对该api下断点,使用alt+b可以看到断点已经被下好了。然后f9运行到断点,查看内存窗口,发现其来自地址47a37d。在左上角那个窗口区域ctr+G,然后输入该地址,在下一行打好断点,f4运行过去,可以看到申请到的内存地址存在eax中。在47a37f处接收eax的值作为脚本要用的基址。
在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述
8.清除所有断点,重新开始程序,按照2—6的步骤,执行到偏移0897位置,此时清除所有硬件断点,并在此处打一个软件断点(f2),然后,选择菜单栏的调试,打开或清除run跟踪,跟踪步入
在这里插入图片描述
9.菜单栏:查看,run跟踪,弹出一个界面,此时跟踪停止了
在这里插入图片描述
10.再点击一次调试窗口的跟踪步入,然后点击一下该界面,会发现出现许多指令,这时先别急,泡杯茶坐着等。att+c可以跳转到我们熟悉的od界面,等跟踪完成,会发现跟踪变成了暂停。此时点击图片中的三个点图标,进入run的查看。
ALT+C可以跳到这个界面,可以看到还在跟踪
在这里插入图片描述
11.将查看界面拖到最底下,一条一条向上看,找到最像地址(40万开头或者70万开头那种)的那一条记录,点击那条记录,跳过去。
在这里插入图片描述
12.选中地址,f4执行到这里,然后f7,发现其寄存器edx果然存的是个地址,记录当前指令的偏移:10f7,此地是获取真实函数地址指令,真实函数地址存放在edx
在这里插入图片描述
13.用以上几步,我们成功的获取了如下几个数据

oep:47148B
申请堆空间代码的地址:47A37F
填充IAT的指令的偏移:0897
获取真实函数地址指定的偏移:10F7

14.接下来就是用已有的四个数据,将被填充的IAT修复回来,这里用到了od脚本(可以将代码复制到txt,再将扩展名改成osc就能运行)。脚本代码如下:

//存放真实的函数地址
MOV dwGetAPIAddr,0010F7
//存放开始修改IAT的地址
MOV dwWriteAPIAddr,000897
//oep大家都懂的
MOV dwOEP,0047148B
//申请堆空间的地址
mov dwAlloc,47A37F


//清除所有的断点
BPHWC
BPMC
BC


//设置两个断点,位于申请堆内存和oep
BPHWS dwAlloc,"x"

BPHWS dwOEP,"x"

//开始循环
LOOP0:
RUN


//比较当前eip和申请堆内存的地址是否相同,如果相同,
//则将申请到的基址分别加上两个偏移组成va
//对两个va下断点
CMP dwAlloc,eip
JNZ tat_get
ADD dwGetAPIAddr,eax
ADD dwWriteAPIAddr,eax
BPHWS dwGetAPIAddr,"x"
BPHWS dwWriteAPIAddr,"x"
JMP LOOP0

//比较当前eip和填充IAT的地址是否一致
//如果相等,则将edx传给dwAddr
//相当于将真实地址偏移传给dwAddr
tat_get:
CMP dwGetAPIAddr,eip
JNZ tat_write
mov dwAddr,edx
JMP LOOP0

//比较eip和填充IAT指令的地址是否相等
//如果是,则将dwAddr的值给edx
//相当于edx现在存的就是真实地址的偏移了
tat_write:
CMP dwWriteAPIAddr,eip
JNZ tat_oep
MOV [edx],dwAddr
JMP LOOP0


//如果到了oep,代表壳代码执行完毕
//同时我们还原真实地址的操作也完成了
tat_oep:
CMP dwOEP,eip
JNZ LOOP0


//弹窗提示oep已经到了
MSG "oep is ok"

14.脚本写好以后,在od中右键,运行脚本
在这里插入图片描述
15.脚本运行完毕,会看到下面有很多api
在这里插入图片描述
16.接下来按照常规的脱壳方式进行就可以了,最终脱壳成功
在这里插入图片描述

永川的川
关注
Get Offer —— 渗透测试岗试题汇总(渗透相关知识点)
Boom!脑洞大爆炸的博客
07-21 2941
一篇文章了解渗透知识点
静态分析基础技术
Hvnt3r的博客
03-06 845
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
经典:手动脱未知的方法
01-02
非常经典的动画教程,手动脱未知的方法,看后受益匪浅!
脱壳4 (未知
qq_31507523的博客
11-03 498
脱壳4 (未知脱壳­IAT被加密如何分析? 1. 自上而下分析,单步跟踪 从程序开始单步分析,找到填充IAT的代码 2. 敏感API下断,栈回溯分析 ① GetProcAddress ② LoadLibraryA/W, GetModuleHandleA/W ③ VirtualAlloc/VitualAllocEx/HeapAlloc ④ VitrualProtect/ VitrualProtectEx 3. 敏感数据下断,栈回溯分析 在IAT表加密的地址处下断点,运行之后
脱壳入门()未知
w_g3366的博客
08-08 725
脱壳入门()未知 一、找OEP 查:看起来好像没,编译器版本7.0(VC2003)、.CODE段应该是Delphi程序的区段特征 2.找OEP,有用OD看看,上面一段还挺像入口点的,在往下看就不像了,也不太肯定 每个区段都看了下,发现.CODE段全是0,这说明啥,这段代码被加密压缩了,放到其他地方了,我们直接F9运行,看看变不变 看看代码被解密出来了,这能证明有了吧 翻...
脱壳入门()未知加密
w_g3366的博客
08-08 1198
脱壳入门()未知加密 一、找OEP 查未知,编译器版本6.0(VC6.0或易语言程序) 找OEP:未知就只能先用OD看看了,的入口代码很熟悉了,用ESP定律就可以了,断下后F7单步到OEP 二、解密IAT 在IAT表下硬件写入断点,找到填充IAT的代码位置,注意,这个加了花指令混淆功能,程序断下后Ctrl+↑定位上一条指令,然后分析 F7单步运行,跟一遍IAT加密的流...
【2022.1.3】手脱压缩练习(含练习exe)
qq_35289660的博客
03-04 1103
记录练习脱壳(简单的压缩),都有对应练习exe。
苏教版语文五年级(上册)配套练习册答案.doc
10-21
苏教版语文五年级(上册)配套练习册的答案解析为我们提供了一次深入探讨语文知识与人文精神的机会。通过不同文体和主题的文章,学生们不仅能够加深对语文知识点的理解,更能在阅读中体会到丰富的情感和深层的思考。...
暑期CTF练习——第七周
AlienEowynWan的博客
08-21 297
攻防世界reverse进阶区babyxor 查 说是未知就很无奈,但是拖到ida分析不出来,还是有的,拖到OD脱壳 函数sub_40108C 函数sub_401041 函数sub_4010C3 这三个函数的操作与输入的字符串没有关系,所以在OD动态调试,分别在这三个函数中下断点,把三个字符串连起来即为flag flag是:flag{2378b077-7d6e-4564-bdca-7eec8eede9a2} ...
PEiD实战案例分析:逆向工程中的强大应用
本文还进一步分析了PEiD的高级功能,如OEP查找、导入表分析及加脱壳技术。通过多个实战案例,展示了PEiD在软件保护分析和恶意软件分析中的实际效用。最后,本文对PEiD面临的挑战和未来的发展方向进行了展望,指出...
06.exe脱壳训练程序
09-08
脱壳训练程序脱壳训练程序
吾爱破解脱壳练习 第一期
09-24
吾爱破解脱壳练习 第一期 新手练习脱壳的好教程
PEiD(侦测未知加强版)
07-27
PEiD查 PEiD加强版 查软件 未知侦测
OD破解查工具
03-22
破解之前,用来查
脱壳练习05(NSpack3.x)
weixin_45574485的博客
08-30 859
1.脱壳老规矩,第一步,查,可以看到该是NsPack(3.x)的。(这里给个忠告,脱壳前一定要清楚是什么,今天对这个脱壳的时候就闹了个笑话,最开始只知道有,也没仔细去看什么,结果修复导入表的时候,按照常规方法脱,程序打开失败了,其实前面也写过一个nspack的脱壳,当时要是注意到这是nspack的,可能会少走一部分弯路) 2.第二步,用od打开程序,可以发现没有什么明显的push...
脱壳练习(0)-动态调试1代脱壳
葱花炒蛋的博客
01-19 5663
脱壳练习(0)-动态调试1代脱壳
脱壳_加密_用脚本脱壳04.exe
for_mat_的博客
08-05 851
脱这个: 先用PEid扫一下看看有没有,发现什么都没扫到,再用LordPE看看,发现果然有: 那么就用OD打开吧: 这是进去之后的样子,看到了PUSHAD/PUSHFD,用ESP定律,单步到OEP的位置,在47A036 call的地方给ESP下硬件执行断点后f9运行: 刚好在POPFD执行完的地方停下来,单步到OEP的位置: 两个跳转之后就找到了OEP的位置: 看眼,IAT已经被加...
CTF REVERSE练习脱壳分析
最新发布
小司机的奥拓
08-09 989
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
遭遇未知.Net加密
weixin_34200628的博客
01-08 279
今天晚上朋友找我,说他用的OA系统(ASP.Net的)今天更新了,注册算法好像变了,好像加密也换了,找我帮他看看。是DLL的程序而且是net2.0的,感觉应该很好弄。资源管理器中用大图标视图模式看了一下所有的dll文件的版本信息没有发现可疑文件。先拿ildasm看看结构,分析一下有什么保护方式。结果出来一个 红叉的对话框,说什么是受保护的模块。用reflector不能看是预料之中的,这个工具太脆...
TestWin脱壳练习教程与探讨
【标题】: "TestWin 脱壳练习" 【知识点】: 1. **脱壳的基本概念**: ""(也称为"保护")是一种软件保护技术,用于加密和压缩可执行程序,目的是防止程序被轻易的逆向工程分析和非法复制。脱壳指的是去除程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值