资源描述
ZProtect加壳程序脱壳笔记
之前写了一种ZPIAT加密方式分析,这里继续接着前面文章,写一种ZProtect 加壳程序完整脱壳笔记。
目的程序是一种用ZP二次加密程序,也许是某位大侠作品,小弟这里只是随手拿来做个演示,有什么冒犯之处,敬请见谅。 目的程序在附件中。
运营一下程序,程序提示只能运营三次,每次只能运营十分钟,看来这个是要先干掉这个对话框再说了~
写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大代码。
把这个lpk放在软件目录下就没有注册框了。当前可以OD载入了~
1,到OEP去
上次我分析里面说了,如何最快到达OEP方式 就是用ESP定律。
过了pushad后来,下Hr ESP 然后就到了。
查找FF25 发现壳没有解决IAT调用代码,只是对IAT进行了加密,看来这个应当是1.4.0-1.4.4之间某个版本。
2,修复IAT
通过查找FF25 很容易拟定IAT位置。
1. 005A3190 00641378 店铺宝贝.00641378
2. 005A3194 00641798 店铺宝贝.00641798
3. 005A3198 00641B10 店铺宝贝.00641B10
4. 005A319C 00E30000
5. 005A31A0 00E3000E
6. 005A31A4 00641048 店铺宝贝.00641048
7. 005A31A8 006411E0 店铺宝贝.006411E0
复制代码
下面是一某些IAT,可以看出IAT解决方式有两种。修复时候也要分两种状况进行修复。
依照我上篇分析文章结论,两种加密方式最后是殊途同归:
push 提取码
调用获取函数序号call
按照隐藏IAT基址+序号方式来寻址。
下面看看两种不同方式提取码和call调用方式。
方式一00406A54 - FF25 64325A00 jmp dword ptr ds:[5A3264] ds:[005A3264]=00E30142
1. 00E30142 50 push eax
2. 00E30143 60 pushad
3. 00E30144 68 7695B4AD push ADB49576
4. 00E30149 E8 310DE7FF call 00CA0E7F
5. 00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874]
6. 00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0
7. 00CA0E88 74 57 je short 00CA0EE1
8. 00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ;kernel32.GetTickCount
9. 00CA0E90 8BC8 mov ecx,eax
10. 00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]
11. 00CA0E98 81F9 88130000 cmp ecx,1388
12. 00CA0E9E 76 41 jbe short 00CA0EE1
13. 00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644]
14. 00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax
15. 00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ;kernel32.ResumeThread
16. 00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3
17. 00CA0EB8 7C 08 jl short 00CA0EC2
18. 00CA0EBA 6A 00 push 0
19. 00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ;kernel32.ExitProcess
20. 00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0
21. 00CA0EC9 74 08 je short 00CA0ED3
22. 00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]
23. 00CA0ED1 EB 07 jmp short 00CA0EDA
24. 00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0
25. 00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1
26. 00CA0EE1 56 push esi
27. 00CA0EE2 57 push edi
28. 00CA0EE3 FF7424 0C push dword ptr ss:[esp+C]
29. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]
30. 00CA0EED 8BF8 mov edi,eax
31. 00CA0EEF BE 644ECA00 mov esi,0CA4E64
32. 00CA0EF4 E8 6941FFFF call 00C95062
33. 00CA0EF9 8B00 mov eax,dword ptr ds:[eax]
34. 00CA0EFB 5F pop edi
35. 00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax
36. 00CA0F00 5E pop esi
37. 00CA0F01 C2 0400 retn 4
38. 00E3014E 61 popad
39. 00E3014F C3 retn
复制代码
方式二 00406A64 /FF25 5C325A00 jmp dword ptr ds:[5A325C] ds:[005A325C]=00641A44 (店铺宝贝.00641A44)
1. 00641A44 68 6B95B4AD push ADB4956B-----------------------这个就是提取码了~
2. 00641A49 /E9 5E070000 jmp 店铺宝贝.006421AC
3. 006421AC - E9 17F26500 jmp 00CA13C8
4. 00CA13C8 60 pushad
5. 00CA13C9 FF7424 20 push dword ptr ss:[esp+20]
6. 00CA13CD E8 ADFAFFFF call 00CA0E7F
7. 00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874]
8. 00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0
9. 00CA0E88 74 57 je short 00CA0EE1
10. 00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ;kernel32.GetTickCount
11. 00CA0E90 8BC8 mov ecx,eax
12. 00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]
13. 00CA0E98 81F9 88130000 cmp ecx,1388
14. 00CA0E9E 76 41 jbe short 00CA0EE1
15. 00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644]
16. 00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax
17. 00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ;kernel32.ResumeThread
18. 00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3
19. 00CA0EB8 7C 08 jl short 00CA0EC2
20. 00CA0EBA 6A 00 push 0
21. 00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ;kernel32.ExitProcess
22. 00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0
23. 00CA0EC9 74 08 je short 00CA0ED3
24. 00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]
25. 00CA0ED1 EB 07 jmp short 00CA0EDA
26. 00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0
27. 00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1
28. 00CA0EE1 56 push esi
29. 00CA0EE2 57 push edi
30. 00CA0EE3 FF7424 0C push dword ptr ss:[esp+C]----------这里就是push提取码
31. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]---------这个call就是获取函数序号
32. 00CA0EED 8BF8 mov edi,eax
33. 00CA0EEF BE 644ECA00 mov esi,0CA4E64
34. 00CA0EF4 E8 6941FFFF call 00C95062----------------------这个call就是通过序号和基址获取API地址
35. 00CA0EF9 8B00 mov eax,dword ptr ds:[eax]---------这里[eax]就是真实API地址
36. 00CA0EFB 5F pop edi
37. 00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax
38. 00CA0F00 5E pop esi
39. 00CA0F01 C2 0400 retn 4
40. 00CA13D2 61 popad
41. 00CA13D3 C3 retn
复制代码
从上面可以看出来,两种方式最后调用是同一子程序。这样两种方式除了获取提取码过程稍微不同以外,其她都是同样。
理解清晰了,下面就可以自己写代码来修复IAT了。下面是我自己写一段patch代码,给人们参照一下。
1. 0059BAFE B8 14134000 mov eax,店铺宝贝.00401314-----通过查找FF25,拟定第一种IAT调用所在位置。
2. 0059BB03 8038 FF cmp byte ptr ds:[eax],0FF-----按字节寻找FF 25
3. 0059BB06 75 3E jnz short 店铺宝贝.0059BB46
4. 0059BB08 8078 01 25 cmp byte ptr ds:[eax+1],25
5. 0059BB0C 75 38 jnz short 店铺宝贝.0059BB46
6. 0059BB0E 66:8378 04 5A cmp word ptr ds:[eax+4],5A----这里是为了防止查找错误而设立,其中5A是IAT所在位置
7. 0059BB13 75 31 jnz short 店铺宝贝.0059BB46
8. 0059BB15 8B58 02 mov ebx,dword ptr ds:[eax+2]---传递该处调用IAT指针
9. 0059BB18 833B 00 cmp dword ptr ds:[ebx],0-------比较IAT中地址与否为0
10. 0059BB1B 74 29 je short 店铺宝贝.0059BB46
11. 0059BB1D 8B0B mov ecx,dword ptr ds:[ebx]
12. 0059BB1F 66:8139 5060 cmp word ptr ds:[ecx],6050-----判断是不是加密方式1.
13. 0059BB24 74 2E je short 店铺宝贝.0059BB54
14. 0059BB26 8039 68 cmp byte ptr ds:[ecx],68-------解决加密方式2,如果是话,为保险起见,判断下一种指令是不是push
15. 0059BB29 75 1B jnz short 店铺宝贝.0059BB46
16. ==============================================================================
17. 0059BB2B 50 push eax
18. 0059BB2C FF71 01 push dword ptr ds:[ecx+1]
19. 0059BB2F FF15 5C46CA00 call dword ptr ds:[CA465C]
20. 0059BB35 8BF8 mov edi,eax
21. 0059BB37 BE 644ECA00 mov esi,0CA4E64 这某些就是调用壳IAT解码函数获取真正API地址,应用到其她程序时,请自行修改
22. 0059BB3C E8 21956F00 call 00C95062
23. 0059BB41 8B10 mov edx,dword ptr ds:[eax]
24. 0059BB43 8913 mov dword ptr ds:[ebx],edx------修复IAT
25. 0059BB45 58 pop eax
26. ==============================================================================
27. 0059BB46 83C0 01 add eax,1----------------------继续查找
28. 0059BB49 3D 00005900 cmp eax,店铺宝贝.00590000-------这个值是IAT调用查找上限,请自行修改
29. 0059BB4E ^ 72 B3 jb short 店铺宝贝.0059BB03
30. 0059BB50 EB 10 jmp short 店铺宝贝.0059BB62 -------执行到这里就表达完毕了
31. 0059BB52 90 nop
32. 0059BB53 90 nop
33. 0059BB54 8079 02 68 cmp byte ptr ds:[ecx+2],68----这里就是解决方式1某些
34. 0059BB58 ^ 75 EC jnz short 店铺宝贝.0059BB46
35. 0059BB5A 50 push eax
36. 0059BB5B FF71 03 push dword ptr ds:[ecx+3]
37. 0059BB5E ^ EB CF jmp short 店铺宝贝.0059BB2F
38. 0059BB60 0000 add byte ptr ds:[eax],al
39. 0059BB62 6A 00 push 0
40. 0059BB64 68 75BB5900 push 店铺宝贝.0059BB75 ;ASCII "Finish"
41. 0059BB69 68 75BB5900 push 店铺宝贝.0059BB75 ;ASCII "Finish"
42. 0059BB6E 6A 00 push 0
43. 0059BB70 E8 754C7B77 call user32.MessageBoxA----调用MessageBoxa 显示一种完毕对话框。
44. 0059BB75 46 inc esi
45. 0059BB76 696E 69 73680000 imul ebp,dword ptr ds:[esi+69],6873
46. 0059BB7D 90 nop
47. 0059BB7E ^ E9 0DFFFFFF jmp 店铺宝贝.0059BA90
复制代码
1. 二进制
2. 00 CC B8 14 13 40 00 80 38 FF 75 3E 80 78 01 25 75 38 66 83 78 04 5A 75 31 8B 58 02 83 3B 00 74
3. 29 8B 0B 66 81 39 50 60 74 2E 80 39 68 75 1B 50 FF 71 01 FF 15 5C 46 CA 00 8B F8 BE 64 4E CA 00
4. E8 21 95 6F 00 8B 10 89 13 58 83 C0 01 3D 00 00 59 00 72 B3 EB 10 90 90 80 79 02 68 75 EC 50 FF
5. 71 03 EB CF 00 00 6A 00 68 75 BB 59 00 68 75 BB 59 00 6A 00 E8 75 4C 7B 77 46 69 6E 69 73 68 00
6. 00 90 E9 0D FF FF FF
复制代码
3,dump程序。
IAT修复完了,由于是二次加密,应当也没有SDK什么。直接dump程序。然后修复。
可是程序不能运营。
问题出在哪里呢?
调试跟踪一下,问题处在下面这里
1. 00422872 8B45 FC mov eax,dword ptr ss:[ebp-4]
2. 00422875 50 push eax
3. 00422876 56 push esi
4. 00422877 E8 A446FEFF call
5. 0042287C 8BF8 mov edi,eax
复制代码
本来是程序查找资源找不到。
用LordPE打开看一下,点击打开资源表,LordPE直接down掉。看来果然是资源表出了问题。
想一下,为什么加壳程序能找到资源,脱壳程序就找不到了呢?
思来想去,终于想通了:
本来,咱们之前脱壳抓取镜像时候,使用从磁盘文献(加壳文献)贴过来PE头,而对于加壳文献来说,资源表是被修改了。固然会出错了。
懂得了这些,就好办了,取消勾选“从磁盘文献粘贴PE头”,然后重新dump程序。
再用ImportREC修复就OK了!!
总结:
1,分析明白IAT加密方式后来,就可以自己写patch代码修复IAT。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
