菜鸟Kelly来分析Shark恒老师的CM 我是他关门弟子

1354669803

拿到老师的东西 看老师的要求 归纳以下几点 通俗解释一下：
1.软件脱壳后要可以运行
2.软件脱壳以后要可以改名，改名以后要可以运行
3.可以多开
4.可以显示Shark恒字样
以上4点为基本要求 因为是新手CM 所以老师不会弄得灰常难 可以放心大胆用老师的思路去搞定他

以下为分析思路：
我个人习惯于不查壳 拉入OD 看入口点，一看便知道是一个Aspack的壳 版本不知道 果断ESP定律 不会用的童鞋请看老师帖子

以下为到达OEP 然后OD插件脱壳 用REC修复IAT即可 但是为了证实他的验证

我们要把文件名改回为脱壳之前的 也就是2013CM黑马.exe 然后把脱壳好的CM拉进去OD 运行起来看看有什么发现
不难发现是退出 那么排除我们修复失败的可能 就是自校验 果断下bp ExitProcess断点 断退出
返回到易原体的退出0041B960    55              push ebp 在这里下好一个F2断点 防止再次退出
重新载入CM 继续运行后断下  堆栈返回到地址 00401913    83C4 04         add esp,0x4
上面那个CALL就是调用退出 CALL上面是一个jnz判断
分析一下是004018FF    833D 90514900 0>cmp dword ptr ds:[0x495190],0x1 这个地址也就是括号里面的常量
为了节省时间我们就不管他常量不常量的 直接把Jnz改成Jmp再保存一份 覆盖
004018F6    55              push ebp 这里怕再次校验就下个F2断点 如图
这时候我们的下在易原体的退出断点不要删除 记住了
重新载入运行 自动断下
0040191D   /0F85 63000000   jnz 2012CM黑.00401986 下面也是一个比较 不过这个跳是实现的 也就是说下面的验证 我们不去分析也可以 都跳过了验证没有分析的必要
我们断在了段首 那么继续堆栈返回
00401444    68 98514900     push 2012CM黑.00495198 到这个地址 我们找这段的段首
0040137D    55              push ebp也下一个F2断点 重新载入以后单步跟踪到

一个比较 下面那个je没有跳 那个call是调用我们刚才的那个退出的段首
所以我们可以把这个je也跳过 改成Jmp保存一份重新载入 所有断点不取消
这时候我们把文件名改掉 看看是什么情况 不过因为我的失误 我把2013错改成了2012 所以我就不需要改名了
这点是我的失误 00401449    E8 FA060000     call 2012CM黑.00401B48 这个F7跟进以后单步跟发现好像没什么重要
我们暂时不知道是干嘛用的 就记录下来吧 以免出错
其实这后面是一大堆的判断 我这里就不去分析了
我们再来解决那个不能同时运行两个文件的问题
我们现在把那个CM载入了OD 我们并不知道如果再运行一个CM是什么结果 所以我们再把那个CM再重新开一个OD载入进去
发现是退出 那么好半 按照刚才的思路下退出断回溯
同理把0040120D   /0F84 0A000000   je 2012CM黑.0040121D 改成Jmp保存
然后下面的那个jnz也要NOP 不然还是退出
运行两个CM试试吧
搞定 接下来就还有一个问题了 那就是老师的标签问题
如果成功会显示Shark恒  
00402E70   /0F84 EF000000   je 2012CM黑.00402F65 改成NOP就搞定了 就是一个判断ebp-14是否为0的问题
至于改标题改标题 我就不说怎么改了
至此完成了Shark恒老师的作业 请老师批改 啦啦啦...
其实说这么多我还是来领取我的奖励的 老师说要给我一个大礼包的 好期待

混小子

咦，我怎么没看到这个CM

℡Black星辰

膜拜kelly师傅，小菜学习了

淡然出尘

Kelly 卖萌..

windimi007

K大V5，膜拜ing~~~~~~~

窗外的云

前辈又在卖萌了。

Rookietp

太霸气了 无法学习

1354669803

Rookietp 发表于 2013-6-22 20:27
太霸气了 无法学习

膜拜会卖萌会装的大牛

FishSauce

好希望能有Kelly那样的技术,看来今生无望了

小雨细无声

膜拜大牛。