首页
论坛
课程
招聘
雪    币: 579
活跃值: 活跃值 (44)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝

[分享]脱壳一个不知名文件

2020-6-8 16:57 2699

[分享]脱壳一个不知名文件

2020-6-8 16:57
2699

检测一个软件话不多说,查看编程语言,C/C++

查看区段,发现多了一个区段

导入OD,MSG提示,有壳

进入OEP,看到这个直接ESP定理

我这里下了一个硬件断点

结果发现什么都没发生直接跑飞

估计有断点检测,查看日志

用最后一次异常法, 0x0047108E, 成功到达OEP

但是它是如何处理硬件断点的呢?若是我想用硬件断点呢?所以我决定查看它的反硬件断点的实现

一般反调试技术都是写在SEH,或者hook 系统API, 其中最常见的就是HOOK KiUserExceptionDispatcher 异常分发函数

对其下CC断点, 再对ESP定律下硬件访问断点

成功断下, 查看 [ESP + 0x4] 处, 其是储存硬件访问断点地址的结构体

发现当其运行指定CALL后,硬件断点的地址被清空

那么知道情况就好办了,我们可以编写OD脚本来实现越过检测

在这里需要知道, 在 KiUserExceptionDispatcher 函数入口处:

[ESP + 0x4] 地址内容开始后5个4字节是一个结构体, 其中后4个4字节存储的是硬件断点的地址

[ESP + 0x14] 存储的是当前异常的地址

[ESP + 0x4] + 0xB8 地址里存储的是异常处理完毕后要返回的用户空间代码地址

// 手动设置 KiUserExceptionDispatcher 入口点CC断点
// ntdll.ZwContinue 还有这个位置
// HengXi.org
var 返回地址
bphws 4271B5, "x"
开始:
eob 判断
run
判断:
cmp eip,7C92E47C
je 删除硬件断点
cmp eip,7C92E493
je 设置CC
cmp eip,返回地址
je 设置硬件断点
jmp 结果
删除硬件断点:
bphwc 4271B5
jmp 开始
设置CC:
mov 返回地址,[esp]
add 返回地址,0b8
mov 返回地址,[返回地址]
bp 返回地址
jmp  开始
设置硬件断点:
bphws 4271B5, "x"
jmp  开始
结果:
MSGYN "继续?"
cmp $RESULT,1
je 开始
ret

成功到达OEP

然后, 其实仔细的看下就会发现存在OEP窃取的情况

所以为了恢复OEP,我们需要寻找原始OEP的代码,在最后一次异常处对壳代码下内存访问断点

成功断下

在OEP处设置硬件执行断点

接下来我们利用Run跟踪来记录到达OEP之前的代码

(1)添加记录文件

(2)勾上所有异常忽略

(3)打开Run跟踪

(4)跟踪步入

等待3~4分钟, 到达OEP,数了一下将近一万行代码,我们搜索关键OEP字段:push ebp

或者手动排查,去除pushad/popad无用的花指令代码段

找到原OEP代码

获取硬编码, 将其粘贴到现OEP

将其Dump下来, 然后我们直接运行是无法打开的,需要修复IAT表

查看目标IAT表发现存在IAT重定位

我们先定位壳代码中重定位IAT表的代码

重新加载,在壳OEP处, 随便在IAT中找一个重定位地址, 这里是0x460974,利用之前的OD脚本下硬件写入断点

// 修改OD脚本
bphws 4271B5, "x" 改写为 bphws 460974, "w"

成功断下

观察发现此时的EAX是重定位的地址, [ESP - 0C] 位置恰巧是重定位系统函数的真实地址

于是利用OD的脚本修复IAT表的思路也就理清楚了

// 手动设置 KiUserExceptionDispatcher 入口点CC断点
// ntdll.ZwContinue 还有这个位置
// HengXi.org
var 函数地址
var 返回地址
bphws 4743D5, "x"
bphws 4271B5, "x"
开始:
eob 判断
run
判断:
cmp eip,7C92E47C
je 删除硬件断点
cmp eip,7C92E493
je 设置CC
cmp eip,返回地址
je 设置硬件断点
cmp eip, 4743D5
je 修复IAT
jmp 结果
删除硬件断点:
bphwc 4743D5
bphwc 4271B5
jmp 开始
设置CC:
mov 返回地址,[esp]
add 返回地址,0b8
mov 返回地址,[返回地址]
bp 返回地址
jmp  开始
设置硬件断点:
bphws 4743D5, "x"
bphws 4271B5, "x"
jmp  开始
修复IAT:
cmp eax, 500000
jg 开始
mov 函数地址, [esp - 0C]
mov [edi], 函数地址
jmp 开始
结果:
MSGYN "继续?"
cmp $RESULT,1
je 开始
ret

修改成功, 重新Dump下来

但是通过Import REC发现一个无效的地址

在OD中查看, 发现是一处奇怪的函数调用

来到OEP处, 对46BD5B下CC断点

它迟早需要调用函数,进入到系统领空,所以设置Run跟踪条件

成功断下,找到其调用的函数

在Import REC中修改

发现还是打不开软件,导入OD查看发现OEP不对, 默认为 4271B5

修改OEP

修改成功然而双击还是没用

查看堆栈窗口

第一行第三列就是最后调用的函数的地方,也就是异常的地址

跟进来看似乎又是一个类似IAT表的跳转

然而现在 0x167054 内容为空, 所以触发了异常

我们在原程序中查看这个地址,发现是类似函数调用的代码,格式一致均为6字节一段调用

正巧这个跳转表代码也为6个字节

那我们只需要将这个所有6字节调用的代码覆盖现在跳转表即可

保存下来,成功运行


最后还要感谢恒大老师的教导



[看雪官方培训]《安卓高级研修班(网课)》9月班开始招生!顶尖技术、挑战极限、工资翻倍!

最后于 2020-6-8 17:26 被灵幻空间编辑 ,原因: 排版
最新回复 (14)
雪    币: 25
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
GIaoGiao 活跃值 2020-6-8 18:22
2
4
可以啊
雪    币: 4717
活跃值: 活跃值 (1447)
能力值: (RANK:40 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-6-8 18:25
3
0
带壳程序能否上传一下?
雪    币: 4717
活跃值: 活跃值 (1447)
能力值: (RANK:40 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-6-8 18:27
4
0
看 雪 可以啊

能否改一下用户名?这个用户名会让误解你是看雪官方



https://bbs.pediy.com/thread-71978.htm

第25条 论坛ID归论坛所有,禁止作任何交换、买卖。
       ①严禁注册雷同ID、广告性质ID、某些怪异ID。严禁注册与国家领导人或相关有影响人物的同名ID或同音ID。
       ②各会员的注册的ID名必须文明,不得有促意抵毁、旁诽、庸俗的成分或有某些暗示性而影响论坛气氛的。


雪    币: 25
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
GIaoGiao 活跃值 2020-6-8 18:35
5
0
Editor 能否改一下用户名?这个用户名会让误解你是看雪官方https://bbs.pediy.com/thread-71978.htm第25条 论坛ID归论坛所有,禁止作任何交换、买卖。  & ...
不好意思 可是系统不能更改了 版主大佬能不能替我改下
雪    币: 4717
活跃值: 活跃值 (1447)
能力值: (RANK:40 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-6-8 18:39
6
0
看 雪 不好意思 可是系统不能更改了 版主大佬能不能替我改下
可以的,你提供几个候选用户名
雪    币: 25
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
GIaoGiao 活跃值 2020-6-8 20:11
7
0
Editor 可以的,你提供几个候选用户名
GIao 或者    GIaoGiao
雪    币: 4717
活跃值: 活跃值 (1447)
能力值: (RANK:40 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-6-8 21:04
8
0
GIaoGiao GIao 或者 GIaoGiao
第一个被用了,第二个好了。
雪    币: 76
活跃值: 活跃值 (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kongfubull 活跃值 2020-6-9 11:32
9
0
OD用的很6
雪    币: 11
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
礁石的爱 活跃值 2020-6-9 19:35
10
0
雪    币: 251
活跃值: 活跃值 (98)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ZwCopyAll 活跃值 2020-6-10 12:02
11
0
有个问题 你咋知道 它发生oep窃取 你怎么看出来的 oep不正常 通过分析跟踪 你怎么知道哪些指令就是oep指令 
雪    币: 165
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
Rixo_叶默 活跃值 2020-6-11 14:09
12
0
壳程序可以上传一下吗?
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_xrzdrxfe 活跃值 2020-6-12 14:10
13
0
求程序!万分感谢!!!
雪    币: 4750
活跃值: 活跃值 (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gamehack 活跃值 2020-6-12 16:53
14
0
感谢分享!
雪    币: 1938
活跃值: 活跃值 (78)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
sunsjw 活跃值 1 2020-6-30 11:30
15
0
能否提供一下文章中所说的未知程序
游客
登录 | 注册 方可回帖
返回