吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 46016|回复: 241
收起左侧

[第一课] 【交作业贴】吾爱破解培训第一课交作业专帖

     关闭 [复制链接]
Hmily 发表于 2015-7-4 23:41
前提介绍:
《吾爱破解培训第一课:破解基础知识之介绍常见工具和壳的特征》,讲师:Hmily
http://www.52pojie.cn/thread-378612-1-1.html

请跟贴回复作业,回复内容包括说明程序加的是什么壳,和基本的脱壳步骤哦,成品可以上传网盘贴地址,节省论坛空间就不要上传到论坛了。

作业截至到2015年7月16号00:00前提交算数,没有加报名群的同学也可以提交,后期会通过作业的提交情况,来淘汰没有交作业的,让交作业的新人加入。


对于作业的解答我已经更新到上面培训贴中,作业遇到问题的可以参考一下。

帖子我设置只有我可见,等一周后取消,切记不要回复和作业无关内容,否则会被扣分,前50个名交作业的同学有奖励。

免费评分

参与人数 13吾爱币 +1 热心值 +13 收起 理由
huangxiansheng + 1 + 1 用心讨论,共获提升!
kevking + 1 我很赞同!
药石无医 + 1 我很赞同!
墨泊VRednow + 1 已答复!
huc_dts + 1 谢谢@Thanks!
立心 + 1 谢谢@Thanks!
Securiyt + 1 可以先回复,后编辑,8个cb挣到手。当然你.
caleb110 + 1 谢谢@Thanks!
dagangwood + 1 我很赞同!
duanbin_109 + 1 我很赞同!
海盗小K + 1 老大辛苦啦!
邱诺 + 1 我很赞同!
BlackTrace + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

cyw 发表于 2015-7-9 19:43
本帖最后由 cyw 于 2015-7-10 20:19 编辑

@xh5510 首先很感谢XH师傅对我的悉心指导。师傅谢谢你!

第一个作业分析如下

首先先对课件查壳:
UPX -> Markus & Laszlo ver. [      ] <- from file. [ ! Modified ! ] ( sign like UPX packer )

可以确定为是UPX壳

然后我用的方法是ESP定律手脱UPX壳

第一步:载入程序,取消分析

00457580 >  60              pushad
00457581    BE 00A04300     mov esi,吾爱破解.0043A000
00457586    8DBE 0070FCFF   lea edi,dword ptr ds:[esi-0x39000]
0045758C    57              push edi
0045758D    83CD FF         or ebp,-0x1
00457590    EB 10           jmp short 吾爱破解.004575A2
00457592    90              nop
00457593    90              nop
00457594    90              nop
00457595    90              nop
00457596    90              nop
00457597    90              nop

第二步:F8单步一次,观察寄存器窗口 ESP突变红色


第三步:右击击ESP寄存器值0012FFA4  然后数据窗口跟随

0012FFA4  7C930208  ntdll.7C930208
0012FFA8  FFFFFFFF
0012FFAC  0012FFF0
0012FFB0  0012FFC4
0012FFB4  7FFD3000
0012FFB8  7C92E4F4  ntdll.KiFastSystemCallRet
0012FFBC  0012FFB0

第四步:在数据窗口下硬件断点


第五步:F9运行,删除硬件断点
00457758    8D4424 80       lea eax,dword ptr ss:[esp-0x80]
0045775C    6A 00           push 0x0
0045775E    39C4            cmp esp,eax
00457760  ^ 75 FA           jnz short 吾爱破解.0045775C
00457762    83EC 80         sub esp,-0x80
00457765  - E9 4266FCFF     jmp 吾爱破解.0041DDAC
0045776A    0000            add byte ptr ds:[eax],al
0045776C    48              dec eax
0045776D    0000            add byte ptr ds:[eax],al
0045776F    0000            add byte ptr ds:[eax],al
00457771    0000            add byte ptr ds:[eax],al
00457773    0000            add byte ptr ds:[eax],al
00457775    0000            add byte ptr ds:[eax],al
00457777    0000            add byte ptr ds:[eax],al
00457779    0000            add byte ptr ds:[eax],al

第六步:继续F8单步

0045775E    39C4            cmp esp,eax
00457760  ^ 75 FA           jnz short 吾爱破解.0045775C   //向上跳转不能实现
00457762    83EC 80         sub esp,-0x80                 //在此行F4运行至此
00457765  - E9 4266FCFF     jmp 吾爱破解.0041DDAC
0045776A    0000            add byte ptr ds:[eax],al
0045776C    48              dec eax

第七步:继续两次F8,顺利到达OEP
0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0
0041DDBE    F3:             prefix rep:
0041DDBF    C3              retn
0041DDC0    E9 714F0000     jmp 吾爱破解.00422D36
0041DDC5    8BFF            mov edi,edi
0041DDC7    55              push ebp
0041DDC8    8BEC            mov ebp,esp
0041DDCA    51              push ecx
0041DDCB    53              push ebx
0041DDCC    56              push esi

第八步:用OD自带插件脱壳。结束。。。。



第二个作业分析如下

还是用ESP定律脱

首先查壳nsPack ver.3.x-4.1 reg by North Star 北斗压缩壳

第一步:接着载入OD。
0044C0BF >  9C              pushfd
0044C0C0    60              pushad
0044C0C1    E8 00000000     call 吾爱破解.0044C0C6
0044C0C6    5D              pop ebp
0044C0C7    83ED 07         sub ebp,0x7
0044C0CA    8D85 61FCFFFF   lea eax,dword ptr ss:[ebp-0x39F]
0044C0D0    8038 00         cmp byte ptr ds:[eax],0x0
0044C0D3    74 0F           je short 吾爱破解.0044C0E4
0044C0D5    8D85 89FCFFFF   lea eax,dword ptr ss:[ebp-0x377]
0044C0DB    8038 01         cmp byte ptr ds:[eax],0x1
0044C0DE    0F84 42020000   je 吾爱破解.0044C326
0044C0E4    C600 01         mov byte ptr ds:[eax],0x1
0044C0E7    8BD5            mov edx,ebp


第二步:观察ESP寄存器突变红色,右键数据窗口跟随

第三步:下硬件断点

第四步:F9运行,删除硬件断点
0044C33C  - E9 6B1AFDFF     jmp 吾爱破解.0041DDAC
0044C341    8BB5 15FCFFFF   mov esi,dword ptr ss:[ebp-0x3EB]
0044C347    0BF6            or esi,esi
0044C349    0F84 97000000   je 吾爱破解.0044C3E6
0044C34F    8B95 1DFCFFFF   mov edx,dword ptr ss:[ebp-0x3E3]
0044C355    03F2            add esi,edx
0044C357    833E 00         cmp dword ptr ds:[esi],0x0
0044C35A    75 0E           jnz short 吾爱破解.0044C36A
0044C35C    837E 04 00      cmp dword ptr ds:[esi+0x4],0x0
0044C360    75 08           jnz short 吾爱破解.0044C36A
0044C362    837E 08 00      cmp dword ptr ds:[esi+0x8],0x0

第五步:继续F8单步。

0041DDAC      E8            db E8
0041DDAD      EF            db EF
0041DDAE      4E            db 4E                                    ;  CHAR 'N'
0041DDAF      00            db 00
0041DDB0      00            db 00
0041DDB1      E9            db E9
0041DDB2      79            db 79                                    ;  CHAR 'y'
0041DDB3      FE            db FE
0041DDB4      FF            db FF
0041DDB5      FF            db FF
0041DDB6      3B            db 3B                                    ;  CHAR ';'
0041DDB7      0D            db 0D
0041DDB8      B0            db B0
0041DDB9      07            db 07
0041DDBA      44            db 44                                    ;  CHAR 'D'

接着右键删除分析,到达OEP,接着脱壳!

0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0
0041DDBE    F3:             prefix rep:
0041DDBF    C3              retn
0041DDC0    E9 714F0000     jmp 吾爱破解.00422D36
0041DDC5    8BFF            mov edi,edi
0041DDC7    55              push ebp
0041DDC8    8BEC            mov ebp,esp

OEP代码


第三个作业分析如下


查壳:FSG v2.0   F[ast] S[mall] G[ood]
ESP定律不能用了 单步F8直到软件跑起来

第一步:载入程序
00400154 >  8725 E4624700   xchg dword ptr ds:[0x4762E4],esp
0040015A    61              popad
0040015B    94              xchg eax,esp
0040015C    55              push ebp
0040015D    A4              movs byte ptr es:[edi],byte ptr ds:[esi]
0040015E    B6 80           mov dh,0x80
00400160    FF13            call dword ptr ds:[ebx]
00400162  ^ 73 F9           jnb short 吾爱破解.0040015D  //下一行F4,打断上跳
00400164    33C9            xor ecx,ecx
00400166    FF13            call dword ptr ds:[ebx]
00400168    73 16           jnb short 吾爱破解.00400180
0040016A    33C0            xor eax,eax

继续用上面的步骤直到程序跑起来

00400168   /73 16           jnb short 吾爱破解.00400180
0040016A   |33C0            xor eax,eax
0040016C   |FF13            call dword ptr ds:[ebx]
0040016E   |73 1F           jnb short 吾爱破解.0040018F
00400170   |B6 80           mov dh,0x80
00400172   |41              inc ecx
00400173   |B0 10           mov al,0x10
00400175   |FF13            call dword ptr ds:[ebx]
00400177   |12C0            adc al,al
00400179  ^|73 FA           jnb short 吾爱破解.00400175  //这里有两个跳
0040017B   |75 3A           jnz short 吾爱破解.004001B7
0040017D   |AA              stos byte ptr es:[edi]       //在这行F4
0040017E  ^|EB E0           jmp short 吾爱破解.00400160
00400180   \FF53 08         call dword ptr ds:[ebx+0x8]
00400183    02F6            add dh,dh


00400172    41              inc ecx
00400173    B0 10           mov al,0x10
00400175    FF13            call dword ptr ds:[ebx]
00400177    12C0            adc al,al
00400179  ^ 73 FA           jnb short 吾爱破解.00400175
0040017B    75 3A           jnz short 吾爱破解.004001B7
0040017D    AA              stos byte ptr es:[edi]
0040017E  ^ EB E0           jmp short 吾爱破解.00400160 //这里要打断上跳
00400180    FF53 08         call dword ptr ds:[ebx+0x8]
00400183    02F6            add dh,dh                   //在此行F4
00400185    83D9 01         sbb ecx,0x1

004001C6    FF53 10         call dword ptr ds:[ebx+0x10]
004001C9    95              xchg eax,ebp
004001CA    8B07            mov eax,dword ptr ds:[edi]
004001CC    40              inc eax
004001CD  ^ 78 F3           js short 吾爱破解.004001C2
004001CF    75 03           jnz short 吾爱破解.004001D4
004001D1    FF63 0C         jmp dword ptr ds:[ebx+0xC]
004001D4    50              push eax
004001D5    55              push ebp
004001D6    FF53 14         call dword ptr ds:[ebx+0x14]
004001D9    AB              stos dword ptr es:[edi]
004001DA  ^ EB EE           jmp short 吾爱破解.004001CA
004001DC    33C9            xor ecx,ecx      //运行到此行,程序跑起来了
004001DE    41              inc ecx
004001DF    FF13            call dword ptr ds:[ebx]


程序跑起来了。在运行的那个jmp地方上面找最近的jmp F2下断

重新运行后,F9运行

004001D1  - FF63 0C         jmp dword ptr ds:[ebx+0xC]               ; 吾爱破解.0041DDAC
004001D4    50              push eax
004001D5    55              push ebp
004001D6    FF53 14         call dword ptr ds:[ebx+0x14]
004001D9    AB              stos dword ptr es:[edi]
004001DA  ^ EB EE           jmp short 吾爱破解.004001CA
004001DC    33C9            xor ecx,ecx
004001DE    41              inc ecx
004001DF    FF13            call dword ptr ds:[ebx]
004001E1    13C9            adc ecx,ecx
004001E3    FF13            call dword ptr ds:[ebx]
004001E5  ^ 72 F8           jb short 吾爱破解.004001DF
004001E7    C3              retn

程序已经断下来了,F7进入,右键删除分析,到达OEP

0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0
0041DDBE    F3:             prefix rep:
0041DDBF    C3              retn
0041DDC0    E9 714F0000     jmp 吾爱破解.00422D36
0041DDC5    8BFF            mov edi,edi
0041DDC7    55              push ebp
0041DDC8    8BEC            mov ebp,esp
0041DDCA    51              push ecx
0041DDCB    53              push ebx

然后OD插件脱壳、打开程序  提示找不到入口点

显然这个OD插件脱这种壳不管用

换LordPE脱壳  dumped完成后,发现程序还是不能打开。

用Import REC修复输入表

OEP:0001DDAC
RVA:00032000
Size:00000200

终于脱壳完成了。OK了!

作业地址:链接:http://share.weiyun.com/eda90c075683fb3444cca016a0767741 (密码:LHjx)  

虽然这次作业不是自己独立完成的,靠着师傅的指导完成,但是我从中体会到了自己手动脱壳成功的喜悦,本来之前要放弃了,但是经过今天的小小的成功,我顿时感觉信心足足的!我会继续努力的!
续。。。。。。。。

之前做的作业在XP环境下运行正常,但是在WIN7下运行就出问题了,今天在群里得到了答案,现在再把修复好的作业再提交上来,这次在WIN7和XP环境下都可以完美运行了!

修复作业地址:链接:http://share.weiyun.com/bbf9d6a0a2978bee1482e54bf4e3d3b9 (密码:7BcW)

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
忒会破解 + 1 + 1 你好,能教教我如何让脱壳后的软件在win7下正常运行吗,感激不尽!

查看全部评分

無涯 发表于 2015-7-16 00:09
海盗小K 发表于 2015-7-5 13:14

回帖奖励 +8 CB吾爱币

本帖最后由 海盗小K 于 2015-7-5 14:09 编辑

这是H大留给我们的第一次作业了,理所当然应该好好对待。

我本以为这种没有安全风险的程序直接在我Win7 x64非虚拟机环境下调试就可以分分钟搞定了,哪知道昨晚搞到三点都没能让dumped的程序跑起来。

后来查了查,发现并不能使用win7 x64环境,于是转战吾爱破解专用虚拟机,分分钟就搞定了。

下面说一下思路。

作者玩了狡猾,把区段的名字都改掉了,应该为upx0,upx1的位置变成了www.52pojie.cn之类,然后这种简单的壳,其实用PEiD效果也很好。

下面查壳。

1.png

所以   吾爱破解培训第一课作业一.exe 的壳为  UPX 0.89.6 - 1.02 /1.05 -1.24 -> Markus&Laszlo

UPX脱壳非常简单,我之前在Win7下试过好多UPX脱壳机都不行,唉,可爱又可恨的Win7啊。脱壳调试还是认准XP吧亲们。

载入后问是否分析代码,点否后来到pushad处,可以直接往下拉,就能找到popad,下面不远处就是一个大跳jmp,F2下断,F9跑起来会停下,在jmp处按一下F8即可到达OEP。

很明显的VS2008入口特征。

直接右键,使用OllyDump脱壳调试进程,保存,OK。

XP中可以完美运行。再次查壳:

4.png

C++ 8.0即为VS2008啦,脱壳成功。

第二个UnpackMe直接PEiD查壳:

2.png

NsPack北斗压缩壳,也很简单。直接ESP定律,硬件断点,硬件访问->Word,F9会停下,删除硬件断点后,F8一下即可到达OEP。

使用OllyDump脱壳调试进程,OK。程序完美运行,无需修复。

再次查壳,也为Microsoft Virtual C++ 8.0,为VS2008程序。

第三个UnpackMe也直接PEiD查壳:

3.png

FSG 2.0的壳,可以手脱,但是重点在修复。

重点说一下这个。看了ximo脱这个壳很有感触。

首先OD载入,停在这里。
5.png

单步走两下后,来到这里,其中堆栈窗口的显示是这样的:

6.png

在第四个那里右键,数据窗口中跟随。

然后数据窗口第一行右键,下硬件执行断点。(FSG专用ESP定律)

7.PNG

F9运行,停在这里:

8.png

CPU窗口第一行右键,分析->从模块删除分析。

9.PNG

这样此时显示的就是我们的OEP了。

10.png

此时我们用OllyDump脱壳,是跑不起来的。(OD暂时不要关闭)错误如下:

11.png

所以我们还需要修复该文件的输入表。打开Import REConsturctor,将第三课.exe附加进来。

从OEP看出,入口地址的偏移为1DDAC,我们输入Improt REC 中的OEP处,然后点击自动查找IAT,然后点击获取输入表:

12.png

将那个输入表展开后,我们发现第一个RVA为000320BC,玩过FSG的应该知道,这种自动查找的IAT肯定是不完全的。

但是在这里OEP跟VC++ 6.0的OEP不同,找不到教程里的那种call地址,怎么办呢?

我们直接根据第一个RVA来找。

在OD的command栏里面输入 d 4320bc  回车

此时数据窗口出现一堆API函数,如下图所示:

13.png

正好与Import REC中的那些相对应。

我们往上找找,一直找到为空的地方,记下此时的位置:

14.png

此时第一个API的地址为00432000

我们再往下找,找到最后一个API的地址:

15.png

最后一个地址是00432558

所以我们根据这些信息让Import REC手动查找IAT:

16.png

输入这数据后,直接点获取输入表,然后点无效函数,右键,剪切。然后转存,即可。

17.png

OK,大功告成,现在程序能正常运行了。查壳为Microsoft Virtual C++ 8.0,已经脱壳成功。

作业到现在完全结束。

脱壳成果:链接:http://pan.baidu.com/s/1gdCQjyr 密码:gt71

仅能在XP下运行。Win7以上均不可。
dagangwood 发表于 2015-7-5 00:47

回帖奖励 +8 CB吾爱币

本帖最后由 dagangwood 于 2015-7-5 02:05 编辑

作业1:UPX壳
作业2:nsPack壳
作业3:FSG壳

作业1:UPX壳: 使用ESP定律,程序入口点截图如下
UPX.jpg

作业2:nsPack壳:
使用ESP定律,程序入口点截图如下

nSpack.jpg

作业3:FSG壳:
单步执行F8+F4+大跳转,程序入口点截图如下

FSG.jpg






1094483658 发表于 2015-7-5 00:22

回帖奖励 +8 CB吾爱币

本帖最后由 1094483658 于 2015-7-5 11:59 编辑

吾爱破解培训第一课作业一.exe是UPX -> Markus & Laszlo ver加的壳
脱壳:用ESP定律或右键直接查找POPAD或单步,往下几行就会看到
00457765  - E9 4266FCFF     jmp 吾爱破解.0041DDAC
这个跳转,直接跳向程序入口点
0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
用LordPE和ImpREC脱壳保存


吾爱破解培训第一课作业二.exe是nsPack ver.3.x-4.1 reg by North Star加的壳
脱壳:用ESP定律或单步,来到
0044C33C  - E9 6B1AFDFF     jmp 吾爱破解.0041DDAC
跳向程序入口点
0041DDAC   .  E8 EF4E0000   call 吾爱破解.00422CA0
用LordPE和ImpREC脱壳保存


吾爱破解培训第一课作业三.exe是FSG v2.0   F[ast] S[mall] G[ood]加的壳
脱壳:但不往下第三行,来到
0040015B    94              xchg eax,esp
这时我们观察堆栈窗口。如下
004762E8   004001E8  吾爱破解.004001E8
004762EC   004001DC  吾爱破解.004001DC
004762F0   004001DE  吾爱破解.004001DE
004762F4   0041DDAC  吾爱破解.0041DDAC
004762F8 > 7C801D7B  kernel32.LoadLibraryA
004762FC > 7C80AE40  kernel32.GetProcAddress
我们在004762F4   0041DDAC  吾爱破解.0041DDAC处
右键——数据窗口跟随——选中四个字节直接下硬件执行断点
按F9运行,程序直接跳向OEP处
0041DDAC   .  E8 EF4E0000   call 吾爱破解.00422CA0
修复IAT时要手动查找IAT的起始位置和大小。随便找一个像这样的CALL
call dword ptr ds:[0x43210C]
下硬件访问断点,重载程序,观察数据窗口,就能发现IAT的起始位置和大小
之后用LordPE和ImpREC脱壳保存




头像被屏蔽
hnicf 发表于 2015-7-5 00:29

回帖奖励 +8 CB吾爱币

提示: 作者被禁止或删除 内容自动屏蔽
lyxsh2013 发表于 2015-7-5 00:43

回帖奖励 +8 CB吾爱币

本帖最后由 lyxsh2013 于 2015-7-8 21:22 编辑

[一]OD加载看见一大群nop,就知道是UPX的,F8一次用ESP定律来到
[Asm] 纯文本查看 复制代码
00457758    8D4424 80       lea eax,dword ptr ss:[esp-0x80]
0045775C    6A 00           push 0x0
0045775E    39C4            cmp esp,eax
00457760  ^ 75 FA           jnz short 吾爱破解.0045775C
00457762    83EC 80         sub esp,-0x80//这里F4
00457765  - E9 4266FCFF     jmp 吾爱破解.0041DDAC//这里跳过去后就到OEP
0045776A    0000            add byte ptr ds:[eax],al
0045776C    48              dec eax
0045776D    0000            add byte ptr ds:[eax],al
0045776F    0000            add byte ptr ds:[eax],al
00457771    0000            add byte ptr ds:[eax],al
00457773    0000            add byte ptr ds:[eax],al


在向上jnz下面一行F4(奇怪的是要按两次)

接下来F8单步走两次,大跳后,就到了入口
目测判断是VS2008的程序

[Asm] 纯文本查看 复制代码
0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0
0041DDBE    F3:             prefix rep:
0041DDBF    C3              retn


脱下来的程序用PE查怪怪的...
QQ截图20150705002845.png



[二]OD加载完全看不懂,用PE一查是:  nsPack ver.3.x-4.1 reg by North Star
百度查一下这壳,能用EPS定律脱

F8,单步走后ESP定律到了0044C33C,直接是个JMP,F8跟过去后出现了一大堆看不懂的
右键--分析--从模块中删除分析后,发现和第一个程序入口完全一样



[三]OD加载也目测不出是什么壳,PE查出是:  FSG v2.0   F[ast] S[mall] G[ood]  - www.xtreeme.prv.pl
自己试了下ESP定律发现不好使
看了http://www.52pojie.cn/thread-338937-1-1.html   分享 FSG 2.0的一次脱壳经历,IAT API修复--wanttobeno 的帖子后
学她点击跳转F4跑,找到跑飞的JMP
[Asm] 纯文本查看 复制代码
004001CD  ^\78 F3           js short 吾爱破解.004001C2
004001CF    75 03           jnz short 吾爱破解.004001D4
004001D1    FF63 0C         jmp dword ptr ds:[ebx+0xC]               ; 这个跳转
004001D4    50              push eax
004001D5    55              push ebp

下断,重载,F9运行到004001D1这个跳转,F8跟过去后,发现又是一堆看不懂的,从模块中删除分析后,看见了程序入口.

在入口脱壳后,运行却出问题了,想必是要修复
QQ图片20150705010817.png


看了小生大大的压缩壳练习二,以及百度上手动寻找IAT方法后,成功修复啦.

脱壳脱到OEP的时候,右键当前CALL:数据窗口中跟随-内存地址,然后在左下角右键:长型-地址

这时左下角大概是这个样 QQ截图20150708210959.png

向上翻,找一大堆数值为00000000和有英文注释交界的地方 QQ截图20150708211510.png

OEP:1DDAC RVA:32000,长度不会算,填的2000,修复之后就好了
黑的思想 发表于 2015-7-5 00:56

回帖奖励 +8 CB吾爱币


作业一:UPX
作业二:nsPack ver.3.x-4.1
作业三:FSG v2.0
脱壳
作业一:查找命令popad,00457765处下断点,F9,jmp 0041DDAC。用LordPE dump,用ImportREC修复,oep为1DDAC。
作业二:查找命令序列popad popfd,0044C33C处下断点,F9,来到0041DDAC。用LordPE dump,用ImportREC修复,oep为1DDAC。
作业三:观察代码,稍微往下拉,即可发现004001D1处的可疑跳转,下断点,F9,来到0041DDAC,从模块删除分析。用LordPE dump,用ImportREC修复,oep为1DDAC,特别修改rva为00032000,大小为554。

作业链接:http://pan.baidu.com/s/1ntvIPo1 密码: vdjn
蚯蚓翔龙 发表于 2015-7-5 01:00

回帖奖励 +8 CB吾爱币



成品
链接:http://pan.baidu.com/s/1eQwDfbk 密码:kcg8
路过领CB
单曲循环丶T 发表于 2015-7-5 01:19

回帖奖励 +8 CB吾爱币

作业一的壳是UPX壳,我使用的是单步跟踪法,遇见向上跳转就到下一步F4。也可以使用ESP定律法。
作业二的壳是Nspack壳,我使用的是ESP定律法,瞬间到达~!
作业三的壳是FSG壳,他有好几次跑飞要注意,还有OEP的地址隐藏也要注意,在三个跳转的一个位置。
我作业答案~。H大,如果有问题纠正我啊~!
链接:http://pan.baidu.com/s/1jGvOXCU 密码:sxdy
BlackTrace 发表于 2015-7-5 02:02

回帖奖励 +8 CB吾爱币

作业1:
壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

脱壳方法:ESP定律
        在第一个pushad执行完以后,选择设置esp刚刚压进去的数据的硬件访问断点,然后F9.就到了这里
        00457758    8D4424 80       lea eax,dword ptr ss:[esp-0x80]
0045775C    6A 00           push 0x0
0045775E    39C4            cmp esp,eax
00457760  ^ 75 FA           jnz short 吾爱破解.0045775C
00457762    83EC 80         sub esp,-0x80
00457765  - E9 4266FCFF     jmp 吾爱破解.0041DDAC
0045776A    0000            add byte ptr ds:[eax],al
0045776C    48              dec eax

取消硬件断点,单步下去,有个跳转。
就到了这里:
0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0
0041DDBE    F3:             prefix rep:

然后用od的插件脱,保存,查壳(这里有个疑问,EXEinfo查脱完的壳的程序,居然是未知的壳,用peid查就是VC8.0,不知道是不是我弄错了),已脱运行没有报错。


作业2:
壳:nsPack
脱壳方法:ESP定律
0044C0BF >  9C              pushfd
0044C0C0    60              pushad
0044C0C1    E8 00000000     call 吾爱破解.0044C0C6

用od加载了以后,是这样的,让od执行pushfd,pushad,然后把刚压进栈的数据设置硬件访问断点,然后F9,来到这里。
0044C33B    9D              popfd
0044C33C  - E9 6B1AFDFF     jmp 吾爱破解.0041DDAC
0044C341    8BB5 15FCFFFF   mov esi,dword ptr ss:[ebp-0x3EB]
0044C347    0BF6            or esi,esi
0044C349    0F84 97000000   je 吾爱破解.0044C3E6

取消硬件断点,继续单步下去,下面的那个jmp,直接跳到OEP

0041DDAC   .  E8 EF4E0000   call 吾爱破解.00422CA0
0041DDB1   .^ E9 79FEFFFF   jmp 吾爱破解.0041DC2F
0041DDB6   $  3B0D B0074400 cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC   .  75 02         jnz short 吾爱破解.0041DDC0
0041DDBE   .  F3:           prefix rep:
0041DDBF   .  C3            retn

VS2008的入口点。
用od的插件脱,搞定。


作业3:
壳:FSG v2.0  
脱壳方法:ESP定律+单步
刚加载的时候
00400154 >  8725 E4624700   xchg dword ptr ds:[0x4762E4],esp
0040015A    61              popad
0040015B    94              xchg eax,esp
0040015C    55              push ebp
0040015D    A4              movs byte ptr es:[edi],byte ptr ds:[esi]
看见popad,我还是在popad执行后,把压入的数据设硬件访问断点。
然后f9到这里。
004001E8    02D2            add dl,dl
004001EA    75 05           jnz short 吾爱破解.004001F1
004001EC    8A16            mov dl,byte ptr ds:[esi]
004001EE    46              inc esi                                  ; 吾爱破解.00455CCD
004001EF    12D2            adc dl,dl
004001F1    C3              retn

去掉硬件断点,让其跑起来,向下跳转让其实现,向上跳转,则到它的下一行F4,最后在一个地方跑飞了。

004001CD  ^\78 F3           js short 吾爱破解.004001C2
004001CF    75 03           jnz short 吾爱破解.004001D4
004001D1  - FF63 0C         jmp dword ptr ds:[ebx+0xC]               ; 吾爱破解.0041DDAC
004001D4    50              push eax                                 ; kernel32.RaiseException
004001D5    55              push ebp                                 ; kernel32.7C800000
004001D6    FF53 14         call dword ptr ds:[ebx+0x14]             ; kernel32.GetProcAddress
004001D9    AB              stos dword ptr es:[edi]
004001DA  ^ EB EE           jmp short 吾爱破解.004001CA
004001DC    33C9            xor ecx,ecx                              ; ntdll.7C937DE9

在004001DC这里F4跑飞了,看起来是哪个jmp里面有问题,继续看了哪个jmp循环里面的代码,发现004001D1  - FF63 0C         jmp dword ptr ds:[ebx+0xC] 这个是最有可能跑飞的了。下断后,重新载入,F9,然后F8,跳到OEP
0041DDAC   .  E8 EF4E0000   call 吾爱破解.00422CA0
0041DDB1   .^ E9 79FEFFFF   jmp 吾爱破解.0041DC2F
0041DDB6   $  3B0D B0074400 cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC   .  75 02         jnz short 吾爱破解.0041DDC0
0041DDBE   .  F3:           prefix rep:
0041DDBF   .  C3            retn

接下来脱壳,遇到点小问题,就是用od的插件脱出来,用i汉化版的import修复了一下输入表,结果还是跑不起来,折腾了一下,还是没搞定,在论坛里搜了一下,发现有人也遇到了这个问题,看了一下帖子,发现,它的修复有点复杂,又是对比,又是添加,重点是用脱壳机脱了再对比修复(不想下脱壳机),最后看帖子,看见H大,说把import的查找范围设置大一些,果断试了,结果还是不行。也是醉了,看见说是要关机重启电脑,想想就麻烦,然后试了一下用loadPe脱,然后用原版的import把查找范围弄大,然后查找把无效的也干掉,然后修复,结果成功运行了。收工了,菜鸟也是不容易啊。

脱完壳的程序
链接: http://pan.baidu.com/s/1jG4CzaA 密码: gi8a

谢谢,H大。最后请问,loadpe的完全脱壳的原理是怎么样的呢?疑问2,EXEinfo查脱完的壳的程序,居然是未知的壳,用peid查就是VC8.0,不知道是不是我弄错了。上面的脱完用exeinfo都查不出来。用peid就没问题。


用记事本敲的,看起来可能会有点累,辛苦了H大。谢谢

冲动IS魔鬼 发表于 2015-7-5 02:14

回帖奖励 +8 CB吾爱币

本帖最后由 冲动IS魔鬼 于 2015-7-6 23:21 编辑

百度网盘 作业
[Asm] 纯文本查看 复制代码
http://pan.baidu.com/s/1c0jQcFY

作业一 UPX 一步法
起始 搜索
[Asm] 纯文本查看 复制代码
popad

找到出栈并找到关键跳
[Asm] 纯文本查看 复制代码
00457757   .  61            popad
00457758   .  8D4424 80     lea eax,dword ptr ss:[esp-0x80]
0045775C   >  6A 00         push 0x0
0045775E   .  39C4          cmp esp,eax
00457760   .^ 75 FA         jnz short 吾爱破解.0045775C
00457762   .  83EC 80       sub esp,-0x80
00457765   .- E9 4266FCFF   jmp 吾爱破解.0041DDAC


大跳过后就是oep
[Asm] 纯文本查看 复制代码
0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0
0041DDBE    F3:             prefix rep:
0041DDBF    C3              retn
0041DDC0    E9 714F0000     jmp 吾爱破解.00422D36
0041DDC5    8BFF            mov edi,edi
0041DDC7    55              push ebp
0041DDC8    8BEC            mov ebp,esp
0041DDCA    51              push ecx
0041DDCB    53              push ebx
0041DDCC    56              push esi
0041DDCD    57              push edi




作业二 NsPack ESP定律法
单步执行到
[Asm] 纯文本查看 复制代码
0044C0C1    E8 00000000     call 吾爱破解.0044C0C6

ESP断点并运行 直达出栈

[Asm] 纯文本查看 复制代码
0044C33B    9D              popfd
0044C33C  - E9 6B1AFDFF     jmp 吾爱破解.0041DDAC
0044C341    8BB5 15FCFFFF   mov esi,dword ptr ss:[ebp-0x3EB]
0044C347    0BF6            or esi,esi
0044C349    0F84 97000000   je 吾爱破解.0044C3E6
0044C34F    8B95 1DFCFFFF   mov edx,dword ptr ss:[ebp-0x3E3]
0044C355    03F2            add esi,edx                              ; ntdll.KiFastSystemCallRet


并找到关键跳 大跳之后就是oep
[Asm] 纯文本查看 复制代码
0041DDAC   .  E8 EF4E0000   call 吾爱破解.00422CA0
0041DDB1   .^ E9 79FEFFFF   jmp 吾爱破解.0041DC2F
0041DDB6   $  3B0D B0074400 cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC   .  75 02         jnz short 吾爱破解.0041DDC0
0041DDBE   .  F3:           prefix rep:
0041DDBF   .  C3            retn
0041DDC0   >  E9 714F0000   jmp 吾爱破解.00422D36
0041DDC5   $  8BFF          mov edi,edi
0041DDC7  /.  55            push ebp
0041DDC8  |.  8BEC          mov ebp,esp
0041DDCA  |.  51            push ecx
0041DDCB  |.  53            push ebx








作业三   FSG   ESP定律法
单步走到
[Asm] 纯文本查看 复制代码
0040015D    A4              movs byte ptr es:[edi],byte ptr ds:[esi]

esp下断点

运行到如下位置
[Asm] 纯文本查看 复制代码
004001C2    AD              lods dword ptr ds:[esi]
004001C3    97              xchg eax,edi                             ; 吾爱破解.00453000
004001C4    AD              lods dword ptr ds:[esi]
004001C5    50              push eax
004001C6    FF53 10         call dword ptr ds:[ebx+0x10]             ; kernel32.LoadLibraryA
004001C9    95              xchg eax,ebp
004001CA    8B07            mov eax,dword ptr ds:[edi]
004001CC    40              inc eax
004001CD  ^ 78 F3           js short 吾爱破解.004001C2
004001CF    75 03           jnz short 吾爱破解.004001D4
004001D1  - FF63 0C         jmp dword ptr ds:[ebx+0xC]               ; 吾爱破解.0041DDAC


找到三个关键跳转 大跳之后到达oep
[Asm] 纯文本查看 复制代码
0041DDAC   .  E8 EF4E0000   call 吾爱破解.00422CA0
0041DDB1   .^ E9 79FEFFFF   jmp 吾爱破解.0041DC2F
0041DDB6   $  3B0D B0074400 cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC   .  75 02         jnz short 吾爱破解.0041DDC0
0041DDBE   .  F3:           prefix rep:
0041DDBF   .  C3            retn
0041DDC0   >  E9 714F0000   jmp 吾爱破解.00422D36
0041DDC5   $  8BFF          mov edi,edi                              ;  吾爱破解.004322F4
0041DDC7  /.  55            push ebp                                 ;  oleaut32.770F0000
0041DDC8  |.  8BEC          mov ebp,esp
0041DDCA  |.  51            push ecx                                 ;  ntdll.7C937DE9
0041DDCB  |.  53            push ebx                                 ;  吾爱破解.004762E8
0041DDCC  |.  56            push esi                                 ;  吾爱破解.0043CF04
0041DDCD  |.  57            push edi                                 ;  吾爱破解.004322F4


用loadpe 保存脱壳

寻找call
[Asm] 纯文本查看 复制代码
0041E0E6   .  FF15 3C224300 call dword ptr ds:[0x43223C]             ;  ntdll.RtlGetLastWin32Error


指针起始位置 3200 大小选择1000 然后剪切无效指针 保存修复即可





您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止回复与主题无关非技术内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 19:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表