九天雁翎的博客
如果你想在软件业获得成功,就使用你知道的最强大的语言,用它解决你知道的最难的问题,并且等待竞争对手的经理做出自甘平庸的选择。 -- Paul Graham

手动脱ASPack壳


手动脱ASPack

write by 九天雁翎(JTianLing) -- www.jtianling.com

讨论新闻组及文件

个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移地址这种工作,因为重复性太高,不手动进行了。

这些自然不是最佳,最快脱壳的方式,仅仅是学习。。。。。

需要用到的工具有OllyDbg(用于调试),LordPE(用于DumpLordPEDump似乎比OllyDbgDump插件更稳定,因为好像OlldyDbgDump插件还尝试做了一些其他工作),ImportREC(恢复IAT)

压缩壳总是容易脱的,作为脱壳练手,再来一个著名的壳,ASPack

我用的版本是212,测试对象是用其将windows的计算器程序打包。

获取OEP

ASPack获取OEP就没有UPX那么简单了,当然,其实也还是不难,毕竟是压缩壳嘛。而且我尝试过压缩简单的程序(比如以前用汇编写的那个HelloWorld,几乎不会改变代码段,仅仅加密了IAT),因为calc.exe还算是一个正规的程序,所以体积不算很小,然后可以达到50%以上的压缩率,代码段自然也破坏了。

我首先用的是一种很笨的办法,直接通过段之间的跳转来定位,但是因为ASPack相当的狡猾。。。。它不是一个一个段的解压而是交替进行解压,导致的结果就是我没有办法通过在一段内存上面设一次断点,也没有办法通过先在数据段设断,然后再在代码段设断的方式获取OEP,最后只能用蛮办法,用OllyDbgRUN跟踪,设置跟踪中断条件为EIP执行到代码段,然后跟踪步进。。。。。。即便这样,中途ASPack竟然还特意到代码段Ret2次,呵呵,无耻啊。当然,最后通过这种办法,耗时超久,才找到了OEP.OllyDbg跟踪的指令条数在500W以上。。

01012475   .  6A 70         PUSH    70

01012477   .  68 E0150001   PUSH    复件_cal.010015E0

0101247C   .  E8 47030000   CALL    复件_cal.010127C8

01012481   .  33DB          XOR     EBX, EBX

01012483   .  53            PUSH    EBX                              ; /pModule => NULL

01012484   .  8B3D 20100001 MOV     EDI, DWORD PTR [1001020]         ; |kernel32.GetModuleHandleA

0101248A   .  FFD7          CALL    NEAR EDI                         ; /GetModuleHandleA

 

第一句就是入口

然后再通过堆栈平衡的方法来找OEP,结果不需要一秒钟就能找到,简直崩溃。

方法是在外壳通过PUSHAD保护现场后(很多外壳第一句都这样)

查看堆栈

0006FFA4   7C930208  ntdll.7C930208

0006FFA8   FFFFFFFF

0006FFAC   0006FFF0

0006FFB0   0006FFC4     -- 原有ESP

0006FFB4   7FFDB000

0006FFB8   7C92E4F4  ntdll.KiFastSystemCallRet

0006FFBC   0006FFB0

0006FFC0   00000000

 

然后根据堆栈平衡条件,在6FFA4下访问中断(一般的情况是在这里调用了POPAD了),或者在在6FFC4(原来的ESP-4=6FFC0处(其实也可以通过PUSHAD压入8个寄存器算到,6FFA4+(8-1)*4=6FFC0)下写中断(一般的情况是POPAD后,通过PUSH 地址,然后RET返回原有代码段),这样只要壳没有特意的隐藏OEP,一般一次下断就能获取OEP

 

恢复IAT

根据

010124E3   .  FF15 0C120001 CALL    NEAR DWORD PTR [100120C]         ;  msvcrt.__set_app_type

一句,可以找到100120C属于IAT的一部分。然后用ImportRec恢复就好了,不多说了。

 

非加密壳,还是比较容易脱的,当然,写就没有那么容易了。。。。

 

write by 九天雁翎(JTianLing) -- www.jtianling.com

 

分类:  未分类 
标签:  ASPack 

Posted By 九天雁翎 at 九天雁翎的博客 on 2009年02月06日

前一篇: 女朋友用Python实现的猜数字游戏:) 后一篇: 手动脱UPX壳