收藏 分销(赏)
立即下载 开通VIP

ZProtect加壳程序脱壳重点笔记.doc

上传人:a199****6536 文档编号:3029892 上传时间:2024-06-13 格式:DOC 页数:6 大小:45.54KB
下载 相关 举报
ZProtect加壳程序脱壳重点笔记.doc_第1页
第1页 / 共6页
ZProtect加壳程序脱壳重点笔记.doc_第2页
第2页 / 共6页
ZProtect加壳程序脱壳重点笔记.doc_第3页
第3页 / 共6页
ZProtect加壳程序脱壳重点笔记.doc_第4页
第4页 / 共6页
ZProtect加壳程序脱壳重点笔记.doc_第5页
第5页 / 共6页
点击查看更多>>
资源描述

1、ZProtect加壳程序脱壳笔记之前写了一种ZPIAT加密方式分析,这里继续接着前面文章,写一种ZProtect 加壳程序完整脱壳笔记。目的程序是一种用ZP二次加密程序,也许是某位大侠作品,小弟这里只是随手拿来做个演示,有什么冒犯之处,敬请见谅。 目的程序在附件中。运营一下程序,程序提示只能运营三次,每次只能运营十分钟,看来这个是要先干掉这个对话框再说了写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大代码。把这个lpk放在软件目录下就没有注册框了。当前可以OD载入了 1,到OEP去上次我分析里面说了,如何最快到达OEP

2、方式 就是用ESP定律。过了pushad后来,下Hr ESP 然后就到了。查找FF25 发现壳没有解决IAT调用代码,只是对IAT进行了加密,看来这个应当是1.4.0-1.4.4之间某个版本。2,修复IAT通过查找FF25 很容易拟定IAT位置。 1. 005A319000641378店铺宝贝.006413782. 005A319400641798店铺宝贝.006417983. 005A319800641B10店铺宝贝.00641B104. 005A319C00E300005. 005A31A000E3000E6. 005A31A400641048店铺宝贝.006410487. 005A31A

3、8006411E0店铺宝贝.006411E0复制代码下面是一某些IAT,可以看出IAT解决方式有两种。修复时候也要分两种状况进行修复。依照我上篇分析文章结论,两种加密方式最后是殊途同归:push 提取码调用获取函数序号call按照隐藏IAT基址+序号方式来寻址。下面看看两种不同方式提取码和call调用方式。方式一00406A54- FF25 64325A00 jmp dword ptr ds:5A3264 ds:005A3264=00E30142 1. 00E30142 50 push eax2. 00E30143 60 pushad3. 00E30144 68 7695B4AD push A

4、DB495764. 00E30149 E8 310DE7FF call 00CA0E7F5. 00CA0E7F A1 7448CA00 mov eax,dword ptr ds:CA48746. 00CA0E84 8078 0C 00 cmp byte ptr ds:eax+C,07. 00CA0E88 74 57 je short 00CA0EE18. 00CA0E8A FF15 2810C900 call dword ptr ds:C91028 ;kernel32.GetTickCount9. 00CA0E90 8BC8 mov ecx,eax10. 00CA0E92 2B0D 4046C

5、A00 sub ecx,dword ptr ds:CA464011. 00CA0E98 81F9 88130000 cmp ecx,138812. 00CA0E9E 76 41 jbe short 00CA0EE113. 00CA0EA0 FF35 4446CA00 push dword ptr ds:CA464414. 00CA0EA6 A3 4046CA00 mov dword ptr ds:CA4640,eax15. 00CA0EAB FF15 5810C900 call dword ptr ds:C91058 ;kernel32.ResumeThread16. 00CA0EB1 833

6、D 944ECA00 0cmp dword ptr ds:CA4E94,317. 00CA0EB8 7C 08 jl short 00CA0EC218. 00CA0EBA 6A 00 push 019. 00CA0EBC FF15 1C10C900 call dword ptr ds:C9101C ;kernel32.ExitProcess20. 00CA0EC2 803D B848CA00 0cmp byte ptr ds:CA48B8,021. 00CA0EC9 74 08 je short 00CA0ED322. 00CA0ECB FF05 944ECA00 inc dword ptr

7、ds:CA4E9423. 00CA0ED1 EB 07 jmp short 00CA0EDA24. 00CA0ED3 8325 944ECA00 0and dword ptr ds:CA4E94,025. 00CA0EDA C605 B848CA00 0mov byte ptr ds:CA48B8,126. 00CA0EE1 56 push esi27. 00CA0EE2 57 push edi28. 00CA0EE3 FF7424 0C push dword ptr ss:esp+C29. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:CA465C30.

8、00CA0EED 8BF8 mov edi,eax31. 00CA0EEF BE 644ECA00 mov esi,0CA4E6432. 00CA0EF4 E8 6941FFFF call 00C9506233. 00CA0EF9 8B00 mov eax,dword ptr ds:eax34. 00CA0EFB 5F pop edi35. 00CA0EFC 894424 2C mov dword ptr ss:esp+2C,eax36. 00CA0F00 5E pop esi37. 00CA0F01 C2 0400 retn 438. 00E3014E 61 popad39. 00E3014

9、F C3 retn复制代码方式二 00406A64 /FF25 5C325A00 jmp dword ptr ds:5A325C ds:005A325C=00641A44 (店铺宝贝.00641A44) 1. 00641A44 68 6B95B4AD push ADB4956B-这个就是提取码了2. 00641A49 /E9 5E070000 jmp 店铺宝贝.006421AC3. 006421AC - E9 17F26500 jmp 00CA13C84. 00CA13C8 60 pushad5. 00CA13C9 FF7424 20 push dword ptr ss:esp+206. 00

10、CA13CD E8 ADFAFFFF call 00CA0E7F7. 00CA0E7F A1 7448CA00 mov eax,dword ptr ds:CA48748. 00CA0E84 8078 0C 00 cmp byte ptr ds:eax+C,09. 00CA0E88 74 57 je short 00CA0EE110. 00CA0E8A FF15 2810C900 call dword ptr ds:C91028 ;kernel32.GetTickCount11. 00CA0E90 8BC8 mov ecx,eax12. 00CA0E92 2B0D 4046CA00 sub ec

11、x,dword ptr ds:CA464013. 00CA0E98 81F9 88130000 cmp ecx,138814. 00CA0E9E 76 41 jbe short 00CA0EE115. 00CA0EA0 FF35 4446CA00 push dword ptr ds:CA464416. 00CA0EA6 A3 4046CA00 mov dword ptr ds:CA4640,eax17. 00CA0EAB FF15 5810C900 call dword ptr ds:C91058 ;kernel32.ResumeThread18. 00CA0EB1 833D 944ECA00

12、 0cmp dword ptr ds:CA4E94,319. 00CA0EB8 7C 08 jl short 00CA0EC220. 00CA0EBA 6A 00 push 021. 00CA0EBC FF15 1C10C900 call dword ptr ds:C9101C ;kernel32.ExitProcess22. 00CA0EC2 803D B848CA00 0cmp byte ptr ds:CA48B8,023. 00CA0EC9 74 08 je short 00CA0ED324. 00CA0ECB FF05 944ECA00 inc dword ptr ds:CA4E942

13、5. 00CA0ED1 EB 07 jmp short 00CA0EDA26. 00CA0ED3 8325 944ECA00 0and dword ptr ds:CA4E94,027. 00CA0EDA C605 B848CA00 0mov byte ptr ds:CA48B8,128. 00CA0EE1 56 push esi29. 00CA0EE2 57 push edi30. 00CA0EE3 FF7424 0C push dword ptr ss:esp+C-这里就是push提取码31. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:CA465C-这

14、个call就是获取函数序号32. 00CA0EED 8BF8 mov edi,eax33. 00CA0EEF BE 644ECA00 mov esi,0CA4E6434. 00CA0EF4 E8 6941FFFF call 00C95062-这个call就是通过序号和基址获取API地址35. 00CA0EF9 8B00 mov eax,dword ptr ds:eax-这里eax就是真实API地址36. 00CA0EFB 5F pop edi37. 00CA0EFC 894424 2C mov dword ptr ss:esp+2C,eax38. 00CA0F00 5E pop esi39.

15、00CA0F01 C2 0400 retn 440. 00CA13D2 61 popad41. 00CA13D3 C3 retn复制代码从上面可以看出来,两种方式最后调用是同一子程序。这样两种方式除了获取提取码过程稍微不同以外,其她都是同样。理解清晰了,下面就可以自己写代码来修复IAT了。下面是我自己写一段patch代码,给人们参照一下。 1. 0059BAFE B8 14134000 mov eax,店铺宝贝.00401314-通过查找FF25,拟定第一种IAT调用所在位置。 2. 0059BB03 8038 FF cmp byte ptr ds:eax,0FF-按字节寻找FF 253. 0

16、059BB06 75 3E jnz short 店铺宝贝.0059BB464. 0059BB08 8078 01 25 cmp byte ptr ds:eax+1,255. 0059BB0C 75 38 jnz short 店铺宝贝.0059BB466. 0059BB0E 66:8378 04 5A cmp word ptr ds:eax+4,5A-这里是为了防止查找错误而设立,其中5A是IAT所在位置 7. 0059BB13 75 31 jnz short 店铺宝贝.0059BB468. 0059BB15 8B58 02 mov ebx,dword ptr ds:eax+2-传递该处调用IA

17、T指针9. 0059BB18 833B 00 cmp dword ptr ds:ebx,0-比较IAT中地址与否为010. 0059BB1B 74 29 je short 店铺宝贝.0059BB4611. 0059BB1D 8B0B mov ecx,dword ptr ds:ebx12. 0059BB1F 66:8139 5060 cmp word ptr ds:ecx,6050-判断是不是加密方式1.13. 0059BB24 74 2E je short 店铺宝贝.0059BB5414. 0059BB26 8039 68 cmp byte ptr ds:ecx,68-解决加密方式2,如果是话

18、,为保险起见,判断下一种指令是不是push15. 0059BB29 75 1B jnz short 店铺宝贝.0059BB4616. =17. 0059BB2B 50 push eax18. 0059BB2C FF71 01 push dword ptr ds:ecx+119. 0059BB2F FF15 5C46CA00 call dword ptr ds:CA465C20. 0059BB35 8BF8 mov edi,eax21. 0059BB37 BE 644ECA00 mov esi,0CA4E64 这某些就是调用壳IAT解码函数获取真正API地址,应用到其她程序时,请自行修改22.

19、0059BB3C E8 21956F00 call 00C9506223. 0059BB41 8B10 mov edx,dword ptr ds:eax24. 0059BB43 8913 mov dword ptr ds:ebx,edx-修复IAT25. 0059BB45 58 pop eax26. =27. 0059BB46 83C0 01 add eax,1-继续查找28. 0059BB49 3D 00005900 cmp eax,店铺宝贝.00590000-这个值是IAT调用查找上限,请自行修改29. 0059BB4E 72 B3 jb short 店铺宝贝.0059BB0330. 00

20、59BB50 EB 10 jmp short 店铺宝贝.0059BB62 -执行到这里就表达完毕了31. 0059BB52 90 nop32. 0059BB53 90 nop33. 0059BB54 8079 02 68 cmp byte ptr ds:ecx+2,68-这里就是解决方式1某些34. 0059BB58 75 EC jnz short 店铺宝贝.0059BB4635. 0059BB5A 50 push eax36. 0059BB5B FF71 03 push dword ptr ds:ecx+337. 0059BB5E EB CF jmp short 店铺宝贝.0059BB2F3

21、8. 0059BB60 0000 add byte ptr ds:eax,al39. 0059BB62 6A 00 push 040. 0059BB64 68 75BB5900 push 店铺宝贝.0059BB75 ;ASCII Finish41. 0059BB69 68 75BB5900 push 店铺宝贝.0059BB75 ;ASCII Finish42. 0059BB6E 6A 00 push 043. 0059BB70 E8 754C7B77 call user32.MessageBoxA-调用MessageBoxa 显示一种完毕对话框。44. 0059BB75 46 inc esi4

22、5. 0059BB76 696E 69 73680000 imul ebp,dword ptr ds:esi+69,687346. 0059BB7D 90 nop47. 0059BB7E E9 0DFFFFFF jmp 店铺宝贝.0059BA90复制代码1. 二进制2. 00 CC B8 14 13 40 00 80 38 FF 75 3E 80 78 01 25 75 38 66 83 78 04 5A 75 31 8B 58 02 83 3B 00 743. 29 8B 0B 66 81 39 50 60 74 2E 80 39 68 75 1B 50 FF 71 01 FF 15 5C

23、46 CA 00 8B F8 BE 64 4E CA 004. E8 21 95 6F 00 8B 10 89 13 58 83 C0 01 3D 00 00 59 00 72 B3 EB 10 90 90 80 79 02 68 75 EC 50 FF5. 71 03 EB CF 00 00 6A 00 68 75 BB 59 00 68 75 BB 59 00 6A 00 E8 75 4C 7B 77 46 69 6E 69 73 68 006. 00 90 E9 0D FF FF FF复制代码3,dump程序。IAT修复完了,由于是二次加密,应当也没有SDK什么。直接dump程序。然后修

24、复。可是程序不能运营。问题出在哪里呢?调试跟踪一下,问题处在下面这里 1. 00422872 8B45 FC mov eax,dword ptr ss:ebp-42. 00422875 50 push eax3. 00422876 56 push esi4. 00422877 E8 A446FEFF call 5. 0042287C 8BF8 mov edi,eax复制代码本来是程序查找资源找不到。用LordPE打开看一下,点击打开资源表,LordPE直接down掉。看来果然是资源表出了问题。想一下,为什么加壳程序能找到资源,脱壳程序就找不到了呢?思来想去,终于想通了:本来,咱们之前脱壳抓取镜像时候,使用从磁盘文献(加壳文献)贴过来PE头,而对于加壳文献来说,资源表是被修改了。固然会出错了。懂得了这些,就好办了,取消勾选“从磁盘文献粘贴PE头”,然后重新dump程序。再用ImportREC修复就OK了!总结:1,分析明白IAT加密方式后来,就可以自己写patch代码修复IAT。

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服