脱壳——修复加密IAT

对两个练手程序进行脱壳修复加密IAT(其实是一个程序,只是用了几种不同的加壳方式)

第一个程序

Aspack.exe

下载链接:https://download.csdn.net/download/weixin_43916597/18372920

分析程序信息

首先先查看这个程序的信息,使用PEiD查看该exe程序

这里可以看出:编译器版本:vc6.0,壳的名称:ASPack

调用OD调试程序

很清晰的看得到程序最开始的OEP是pushad

自然而然就想到了对esp打断点然后找到popad,再找到jmp或者ret之类的指令来得到真正的OEP,然后dump出来所有的字段,再修复导入表和PE文件,这种类型的原理具体可以查看我的上一篇博客:

https://www.cnblogs.com/Sna1lGo/p/14727846.html

这里直接使用工具了

在od里使用OllyDump来Dump出来exe,然后用ImportREC修复导入表就可以脱壳使用了

得到OEP,然后把OEP输入给OllyDump,得到初步的脱壳.exe

1修正入口的地址,2去掉重建输入表(因为这个重建输入表不好用)3 脱壳

再用Import REC重构就好了,最后就得到了一个完整的脱壳程序

这种方法上一个博客有仔细讲解,感兴趣的可以去看看:https://www.cnblogs.com/Sna1lGo/p/14727846.html

第二个程序

FateMouse.exe

下载链接:https://download.csdn.net/download/weixin_43916597/18372920

分析程序信息

这个壳名字取得花里胡巧的,但是没关系嗷

调用OD调试程序

一开始又是一个很经典的Pushad,果断对esp打上断点(这种办法也就前面用用玩了),然后运行程序跑到断点处

但是这里有明显的区别,这次这里的jmp是跳转到了一个别的地方(因为这个程序我们前面已经剖析很多次了),但是没关系先跳转过去看看

跳转过来是这样的一个东西,再运行看看

先不用管前面的这些,因为这个程序我们之前是操作过的,知道OEP是多少,而且目的是修复加密的IAT,所以前面的可以先不用管

直接跳转到0x00402680

这里是一些不清楚的指令,是因为od帮忙分析了,右键->分析->从模块中删除分析来恢复原来的模样

这样就很清晰明了

平时在采用FF15硬编码的call函数后面会有api的名称显示,但是这里没有,所以这里很有可能是对导入表加密了,才看call函数对应的地址的内容(注call的硬编码有两种,FF15的硬编码表示是根据函数名称)

在命令行中输入指令查看,可以看到很明显不是正常的调用API,这里表明要跳转到对应的地址来执行,那么就再进入对应的地址来查看一下看看内容是什么,这里就查看0042B240对应的0051C275

这里可以看到,其实相当于是一个中转,也就是先进入一个函数地址,然后函数的地址里面才是保存了真正的API地址

这样的话就给我们将程序dump出来之后,再通过一些程序修复IAT表进行了问题,如果这里我们还是直接用ImportREC来修复的话ImportREC找不到函数地址,它只能识别真正的地址,不能识别中转的地址,所以这里我们只需要 想办法让ImportREC能够认识这个IAT就行了,这里采用对中转地址打断点,分析中转函数的代码逻辑来修复IAT

分析关键程序的代码段逻辑

它这里的IAT表是从0042B1DC开始的,所以针对这里开始分析

给这里打一个内存写入断点,然后运行

这里是一个批处理指令,暂时不知道有什么用,继续运行程序看看,再往后运行了3次后变换到了新的位置:、

这里就好像有点东西了,首先是旁边的注释有函数的名称

其次这里的寄存器也是有内容的 ,可以很清楚的看到,这里的指令就是把0042B1DC对应的内容的值改为了一个正常的函数地址的值,相当于这里就是在修复导入函数表了

然后单步调试程序,并且关注0042B1DC这个值在哪里发生了改变

一直往下走的时候,发现经过了这条指令后0042B1DC所存储的值发生了改变 004305EA这条指令,又改变成了一个莫名其妙不认识的值,所以这里我猜测是某段指令实现获取导入表然后对导入表进行加密处理,这里我先将该使得导入表加密的指令使用nop填充,填充完之后再跳转到一条向下的指令

跳转到0043060C,为什么跳转到这里,因为前面都是循环而且是往上的循环,很大概率就是对导入表的每个函数加密,然后到第二个指令的时候就可以很清晰得看到函数的地址了

就是一个很正常的地址了,但是这样操作后直接运行运行不了了,所以这里我猜测,很有可能是加了什么验证在这个壳代码里面,那么可以加一个跳转,直接跳转到真正的OEP的地址里面,来让验证代码跑不了不就好了

但是我也不知道在哪里加比较好,就只有先试一下,先来对第一天循环执行后的语句实施Jmp oep

看看能不能行

可以很明显得看到运行成功了,算是运气比较好把,这个时候再用之前的办法来处理,dump出来,然后修复导入表就好了

总结

针对加密的导入表,可以采用对导入表加断点,跑到具体的加密指令段,然后进行特殊的分析,有时候并不需要把一个程序完整的破解,只需要达到自己的目的就了

总结中的总结:找到核心代码段分析

脱壳——修复加密IAT的更多相关文章

  1. 脱壳系列—— *加密脱壳(Android使用手册破解)

    作者:i春秋作家HAI_ZHU 0×00 前言 好久没有写文了,要好好开动一下了.很多事情要忙.这篇文章本来很早之前就要写的,但是因为很多事情就拖了很久. 前置内容 HAI_使用手册 知识总结 0×0 ...

  2. OpenSSL修复加密漏洞、加强Logjam防御

    来源:TechTarget中国作者:Michael Heller翻译:张程程 OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞(该漏洞可能允许攻击者解密HTTPS通信),同时强化对Logj ...

  3. 菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序

    前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK - API的外壳地址来代替真是的IAT的地址 ...

  4. 脱壳系列_2_IAT加密壳_详细版解法1(含脚本)

    1 查看壳程序信息 使用ExeInfoPe 分析: 发现这个壳的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是 入口函数先调用GetVersion() 2 用OD找OEP 拖进O ...

  5. 脱壳系列_2_IAT加密壳_详细版_解法1_包含脚本

    1 查看壳程序信息 使用ExeInfoPe 分析: 发现这个壳的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是 入口函数先调用GetVersion() 2 用OD找OEP 拖进O ...

  6. 脱壳第二讲,手动脱壳PECompact 2.x

    脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳 ...

  7. 脱壳_00_压缩壳_ASPACK

    写在前面的话: Aspack是最常见的一种压缩壳,具有较好的兼容性.压缩率和稳定性,今天我们就来一起分析一下这个壳: 零.分析压缩壳: 0.在开始动态调试前,用PEID和LoadPE查看一些信息,做到 ...

  8. 加密壳之ACProtect之OEP的处理

    菜驹也玩加密壳之ACProtect之OEP的处理 附件下载:加壳文件和pdf 1.      加密过程: ACProctect v1.41版本号 分析对OEP入口点代码的偷取 2.      分析过程 ...

  9. 脱壳0-FSG壳-详细流程

    目录 @ 1 拿到当前加壳程序,用exeinfo/PeID 看一下信息 可以看出是很老的壳FSG. 分析: ​ Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进P ...

  10. Xdex(百度版)脱壳工具基本原理

    [原创]Xdex(百度版)脱壳工具基本原理作 者: sherrydl时 间: 2015-12-13,10:52:45链 接: http://bbs.pediy.com/showthread.php?t ...

随机推荐

  1. ThreadStatic应用(Identity补完)

    关于Identity Identity自增序列/唯一断标识 起初做这个东西,是在一个内部组件中,用于在高并发的环境下得到一个较短的“相对”不重复标识字符串;(这里说的相对是指一定的数量下不重复) 灵感 ...

  2. C++浅析——虚函数的动态和静态绑定

    源自一道面试题,觉得很有意思 class CBase { public: virtual void PrintData(int nData = 111); }; void CBase::PrintDa ...

  3. [Outlook]设置邮件自动接收时间

    [Outlook]设置邮件自动接收时间   找了好久,一直都没设置正常,导致老是收到邮件有延迟,今天头脑清晰,搜了一下,然后自己竟然给找到了,记下来当笔记,好记性不如烂笔头,呵呵   搜索百度&quo ...

  4. 自己翻译 delegation 官方文档

    什么是代理,知道怎么用,见过N次.会用代理传值,还不够.代理到底是用来干嘛的嘛?还是看看官方文档吧,自己翻译出来看看是不是通顺 代理: 代理是一个简单高效的模式,尤其是一个类在编程的过程中代表或者需要 ...

  5. vim 常用操作

    a 进入INSERT MODE x 删除当前光标下的字符dw 删除光标之后的单词剩余部分.d$ 删除光标之后的该行剩余部分.dd 删除当前行. c 功能和d相同,区别在于完成删除操作后进入INSERT ...

  6. 第6章 Overlapped I/O, 在你身后变戏法 ---1

    这一章描述如何使用 overlapped I/O(也就是 asynchronous I/O).某些时候 overlapped I/O 可以取代多线程的功用.然而,overlapped I/O 加上co ...

  7. 合成/聚合复用原则(CARP)

    组合/聚合复用原则(Composite/Aggregate Reuse Principle或CARP),就是在一个新的对象里面使用一些已有的对象,使之成为新对象的一部分,新对象通过向这些对象的委派达到 ...

  8. spark historyserver 页面反应很慢 jvm堆调参

    我们的spark historyserver 最近页面打开很慢 jstat -gcutil pid 1000 发现full gc 相当严重 查看堆大小,发现默认堆1G,打算修改到4G jps -lvm ...

  9. vue的computed属性

    vue的computed属性要注意的两个地方,1,必须有return,2,使用属性不用括号 <div> <input type="text" v-model=&q ...

  10. Team Work Ⅱ

    Regal-Lighting团队设计 分工思考 本次大作业我的分工定位是:Unit及子类,主要设计实现建筑类的功能. 首先王者光耀这款游戏所需要的建筑分为三类: 1.防御塔:有一定的血量,血量为0时破 ...