1

[分享]yoda's protector脱壳思路

Vancir 2017-12-17 19:29 1124

yoda's protector主要有两个需要注意的反调试保护:阻塞设备输入和枚举进程pid并终止调试器

阻塞设备输入

yoda 使用 user32.dll中的BlockInput来屏蔽所有的输入设备的消息,比如鼠标键盘。当设备被屏蔽时你无法进行任何操作,只有阻塞设备的线程或进程可以使用相同的API填入不同的参数来解锁它


yoda protector会在使用api阻塞设备后转向脱壳/解密的进程并执行一些反调试的技巧,在脱壳结束并且所有检查通过时,yoda才会解锁设备。

一个非常简单的方法可以解除阻塞,那就是patch掉BlockInput,让它什么都不做就返回。


当我们用od载入unpackme,我们可以看到内存中只载入了两个dll


为了patch掉BlockInput,我们需要让user32.dll载入内存,在od选项中我们设置断在新的dll上


然后我们继续F9,让user32.dll导入到内存


随后我们就可以取消掉之前断在新dll的选项,然后跳到BlockInput的入口代码处



BlockInput的api就是上图的灰色代码,retn 4就是结尾,我们只需要将所有这些代码填充为nop就行


这样,api就不会进行任何操作,我们的输入设备也不会被阻塞

枚举进程并终止调试器

yoda使用CreateToolhelp32Snapshot来获取所有正在运行的进程,然后yoda会搜索启动unpackme的进程是否和unpackme自己的进程PID是否相同,如果不同,那么yoda就会终止掉该进程(如od)。如果我们像先前一样patch掉CreateToolhelp32Snapshot,程序则会产生句柄非法(Invalid_Handle)异常。这里有另外一种方式来绕过保护。yoda使用GetCurrentProcessId来获取PID,因此我们可以控制返回的PID的值来迷惑保护代码。

比如我们启动unpackme的进程是Ollydbg.exe,我们就要让GetCurrentProcessId返回Ollydbg.exe的PID,这样检查就不会出现问题(而不是unpackme的PID)。

首先我们必须知道ollydbg.exe的PID,这点我们可以启动LordPE来轻松获得


这里ollydbg.exe的PID是0x4B4,而unpackme的PID是0x1CC,我们要做的就是使得GetCurrentProcessId的返回结果是0x4B4

像之前一样,来到api的入口代码处


函数通过eax返回值,我们只需要修改eax即可


这样也就完成了。

在patch完后,还需要使用插件来隐藏Ollydbg(用HideOD等插件,避免IsDebuggerPresent的检查),之后的关键就是找OEP了。

​OEP查找

oep的查找我们可以使用最后一次异常法来跟踪,按下shift+F9的最后一次异常,在堆栈窗口中出现的SE Handler,本例中是00413F50,我们跟踪进去,在00413F50设下断点,然后按下Shift+F9到达断点处。我们要记得开启HideDebugger或类似插件的反IsDebuggerPresent的选项,否则在使用最后一次异常法时会退出OD和unpackme并且无法再点击任务栏和图标。



然后在00413F79处的00404000就是我们的OEP了,dump出来修复IAT即可



主要的脱壳思路就是以上,如果想要练手的话,可以下载附件,附件程序就单纯加上Hide debugger的反IsDebuggerPresent然后用最后一次异常法就能解决了,分享给大家学习。
ps:附件无毒,由于检测到PID不一致的话会无法点击任务栏,建议在虚拟机下运行。


快讯:[看雪招聘]十八年来,看雪平台输出了大量安全人才,影响三代安全人才!

上传的附件:
最新回复 (3)
jgs 2017-12-18 08:40
2
谢谢楼主分享,学习了一种思路。
MaYil 2017-12-18 08:50
3
感谢分享,  不错的思路!!!
kan雪雪雪 2018-4-11 22:10
4
在00413F79处的00404000就是我们的OEP了
不明白,感觉这俩不是一个地址呢
返回