redwolf在路上 - 加密解密

利用ESP定律脱 UPX 0.89.6 - 1.02 / 1.05 - 1.24 壳实例[转]

redwolf@redwolf.com.cn (redwolf) — Sun, 10 May 2009 11:12:00 +0800

利用ESP定律脱 UPX 0.89.6 - 1.02 / 1.05 - 1.24 壳实例
利用ESP定律不仅使得脱压缩壳变得非常简单，而且可以应付不少加密壳。
简单地说，ESP定律就是利用了堆栈平衡的原理。
可以把壳假设为一个子程序，当壳把代码解压前和解压后，必须要做的是遵循堆栈平衡的原理。
让ESP执行到OEP时，使ESP和壳初始入栈时的ESP相一致。
ESP定律的使用方法：载入加壳程序，当ESP中的值第一次改变时记下这个值。
对这个值下的硬件访问断点，运行程序后，一般的压缩壳都会停在待转向OEP的那条语句上。
利用ESP定律脱 UPX 0.89.6 - 1.02 / 1.05 - 1.24 壳实例
1.OllyDbg打开加了UPX壳的Crackme.exe
地址          HEX数据          反汇编          注释
00457B40          60          PUSHAD          程序的入口点
寄存器（ FFU ）
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDD000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 00457B40 Crackme.<模块入口点>
C 0 ES 0023 32位 0(FFFFFFFF)
P 1 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 1 DS 0023 32位 0(FFFFFFFF)
S 0 FS 003B 32位 7FFDF000(FFF)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty -UNORM BCE0 01050104 00000000
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty 0.0
               3 2 1 0      E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 掩码    1 1 1 1 1 1
2.按F8键单步运行到第二句
地址          HEX数据          反汇编
00457B41          BE 00B04300          MOV ESI,Crackme.0043B000
发现ESP寄存器中的值发生变化 -- 变为0012FFA4 （硬件不同 - 此值可能不相同）
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDD000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 00457B41 Crackme.00457B41
C 0 ES 0023 32位 0(FFFFFFFF)
P 1 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 1 DS 0023 32位 0(FFFFFFFF)
S 0 FS 003B 32位 7FFDF000(FFF)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty -UNORM BCE0 01050104 00000000
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty 0.0
               3 2 1 0      E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 掩码    1 1 1 1 1 1
3.HR 地址 -- 设置硬件访问断点
在命令行输入 hr 0012FFA4
[ Enter... ]
然后按F9键调用程序运行，
可以发现已经来到了 00457C65 - E9 D295FAFF     JMP Crackme.0040123C 地址处，
这正好是跳向OEP的那条指令Jmp语句，
再按F8键跳向0040123C地址处。
4：对其右键，选择“用OllyDump脱壳调试进程”，
起始地址一般都是400000，文件大小自动识别即可。
入口点地址也自动定位到了程序OEP的偏移地址123C处，
代码起始RVA和数据起始也按默认识别的就可以。
5：勾选下面的重建输入表，OllyDump会自动修复引入表。
一般选择方式1，如果方式1脱壳后修复的效果不理想，可以尝试方式2，
不过最好还是用专业的 Import REConstructor 修复最好。
6：单击“脱壳”按钮
用PEiD扫描一下，检测到程序是用 Microsoft Visual Basic 5.0 / 6.0 编写的。
[ Finish... ]
可以看出，ESP定律的效果是非常明显的，
熟练掌握ESP定律对于手动脱壳是非常有用的。
Crack by Cr4ckk3y
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=36781

手动脱壳入门第十九篇ASProtect 1.1

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 17:26:28 +0800

【脱文标题】手动脱壳入门第十九篇ASProtect 1.1

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,Loadpe,ImportREC1.42

【脱壳平台】 Win2000/XP

【软件名称】 chap709.exe

【下载地址】本地下载 chap709.rar

【软件简介】 ASProtect 1.1b Registered 加密Win98的记事本。

【软件大小】 58.2K

【加壳方式】 ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：

--------------------------------------------------------------------------------

【脱壳内容】

首先Peid查壳，为ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov,ASProtect 1.1b Registered 很少弄过，与现在的Asprotect1.2X SEH不同，不过也很容易。SEH异常全部是由13个精心设计的非法指令SEH组成的，这样就无法用模拟跟踪找Oep了。二哥脱壳没有什么耐心，喜欢快。先大概了解了一下程序开始脱壳。

OD载入程序，除了错误或有特权的指令外异常全部忽略,1.1b不检测OD，根本无需隐藏。

0040D001 >  60             pushad //外壳入口,F9运行。
0040D002 E9 95050000    jmp chap709.0040D59C
0040D007 F710          not dword ptr ds:[eax]
0040D009 0F0F          ???                                     ; 未知命令
0040D00B 0F9F6C90 FC    setg byte ptr ds:[eax+edx*4-4]
0040D010 57             push edi
0040D011 C5540F CA    lds edx, fword ptr ds:[edi+ecx-36]
0040D015 4B             dec ebx
0040D016 C5540F 12    lds edx, fword ptr ds:[edi+ecx+12]
0040D01A EC             in al, dx
0040D01B 3AAC90 CD540F92 cmp ch, byte ptr ds:[eax+edx*4+920F54CD]
0040D022 CC             int3
.............................................................

第一次异常

0092FF94 8DC0          lea eax, eax                            ; 非法使用寄存器
0092FF96 EB 01          jmp short 0092FF99
0092FF98 68 648F0500    push 58F64
0092FF9D 0000          add byte ptr ds:[eax], al
0092FF9F 00EB          add bl, ch
0092FFA1 02E8          add ch, al
0092FFA3 0158 68       add dword ptr ds:[eax+68], ebx
0092FFA6 98             cwde
0092FFA7 E5 92          in eax, 92
0092FFA9 0068 D0       add byte ptr ds:[eax-30], ch
0092FFAC FF92 00687CF5 call dword ptr ds:[edx+F57C6800]
0092FFB2 92             xchg eax, edx
0092FFB3 0068 14       add byte ptr ds:[eax+14], ch
...................................................................

继续Shift+F9 12次达第十三次也是最后一次异常。

0093053D 8DC0          lea eax, eax                            ; 非法使用寄存器
0093053F EB 01          jmp short 00930542
00930541 68 648F0500    push 58F64
00930546 0000          add byte ptr ds:[eax], al
00930548 00EB          add bl, ch
0093054A 02E8          add ch, al
0093054C 0158 33       add dword ptr ds:[eax+33], ebx
0093054F C05A 59 59    rcr byte ptr ds:[edx+59], 59
00930553 64:8910       mov dword ptr fs:[eax], edx
00930556 68 78059300    push 930578
0093055B 8D45 F0       lea eax, dword ptr ss:[ebp-10]
0093055E E8 2D2CFFFF    call 00923190
00930563 8D45 F8       lea eax, dword ptr ss:[ebp-8]
.............................................................

ALT+M 打开内存镜像。

内存镜像，项目 21
地址=00401000
大小=00004000 (16384.)
Owner=chap709  00400000
区段=
包含=code //对这里下内存访问断点,Shift+F9运行。
类型=Imag 01001002
访问=R
初始访问=RWE

004010CC 55             push ebp  //到达Oep,用Loadpe脱壳吧。
004010CD 8BEC          mov ebp, esp
004010CF 83EC 44       sub esp, 44
004010D2 56             push esi
004010D3 FF15 E4634000 call dword ptr ds:[4063E4]
004010D9 8BF0          mov esi, eax
004010DB 8A00          mov al, byte ptr ds:[eax]
004010DD 3C 22          cmp al, 22
004010DF 75 1B          jnz short chap709.004010FC //往下看看IAT被加密了不少。
004010E1 56             push esi
004010E2 FF15 F4644000 call dword ptr ds:[4064F4]
004010E8 8BF0          mov esi, eax
004010EA 8A00          mov al, byte ptr ds:[eax]
004010EC 84C0          test al, al
004010EE 74 04          je short chap709.004010F4
004010F0 3C 22          cmp al, 22
004010F2  ^ 75 ED          jnz short chap709.004010E1
004010F4 803E 22       cmp byte ptr ds:[esi], 22
004010F7 75 15          jnz short chap709.0040110E
004010F9 46             inc esi
004010FA EB 12          jmp short chap709.0040110E
...........................................................

IAT修复

运行ImportREC，OEP填入10CC，自动搜索，获得输入信息，有111个指针没有修复，先用跟踪等级1修复98个，剩下的13个用等级3全部修复，正常运行。

火眼金精区段减肥，去除垃圾区段，重建PE。

这个需要一点PE知识，没有也不要紧，跟着一起学，积累经验。

备份好脱壳程序，区段减肥有时过量会导致程序无法运行。

这次区段减肥只是例子，大家要学会举一反三。

我们用OD同时载入未加密的Win98计事本，和脱壳程序。

Win98 记事本

本地下载 Notepad.rar

Alt+M打开内存镜像同步分析。

原程序内存镜像

地址    大小    Owner    Section Contains    类型访问    初始访问  映射为

003E0000 00002000                                     Map R       R
00400000 00001000 NOTEPAD             PE header    Imag R       RWE
00401000 00004000 NOTEPAD .text    code       Imag R       RWE
00405000 00001000 NOTEPAD .data    data       Imag R       RWE
00406000 00001000 NOTEPAD .idata    imports    Imag R       RWE
00407000 00005000 NOTEPAD .rsrc    resources    Imag R       RWE
0040C000 00001000 NOTEPAD .reloc    relocations Imag R       RWE

Contains

.text       //代码段，我们反编译程序经常看到。

.data    //数据快，程序初始化用。

.idata //输入表，现在加密壳搞破坏的对象,坏的输入表让你无法运行脱壳程序，怒。

.rsrc //全部资源，如图标，菜单，位图。

.reloc //保存基地址重定位。

脱壳程序内存镜像

地址    大小    Owner    Section Contains    类型访问    初始访问  映射为

00400000 00001000 dumped_             PE header    Imag R       RWE
00401000 00004000 dumped_             code       Imag R       RWE
00405000 00001000 dumped_                            Imag R       RWE
00406000 00001000 dumped_                            Imag R       RWE
00407000 00005000 dumped_ .rsrc    resources    Imag R       RWE
0040C000 00001000 dumped_                            Imag R       RWE
0040D000 0000F000 dumped_ .data    data,relocat  Imag R       RWE
0041C000 00001000 dumped_ .data                   Imag R       RWE
0041D000 00001000 dumped_ .mackt    imports    Imag R       RWE

现在我们要识别无用区段，文件减肥。

几个Contains 有标记的区段一般不能删除，没有标记的优先考虑。

00405000 00001000 //原先是数据段，现在被Asprotect移动到0040D000里面去了,但这个区段不能删除，否则无法运行。

00406000 00001000  //原先是引入表，这里已经被破坏了，被0041D000重建的引入表替换,但这个区段不
能删除，否则无法运行,感觉它和0041D000重建的引入表一起工作的。

0040C000 00001000 //原先是基地址从定位用的,现在被0040D000处取代，是垃圾区段，可以删除。

0041C000 00001000 //理论就是垃圾区段,实际也是，可以删除。

分析出

0040C000 00001000

0041C000 00001000

两个垃圾区段。

用Loadpe清除它们，重建PE

120 KB  To  97.8 KB  正常运行。

原计事本 52k

还是有垃圾，没有办法了。

手动脱壳入门第十八篇 PC Shrinker 0.71

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 17:25:12 +0800

【脱文标题】手动脱壳入门第十八篇 PC Shrinker 0.71

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC

【脱壳平台】 Win2K/XP

【软件名称】 Pcshrink.exe

【软件简介】 Phrozen Crew PE Shrinker is an windows 9x/NT executable file compressor, allowing compressed executables to run, functionally,the same as always, but occupy a significantly less amount of disk space.

【软件大小】 15 KB

【下载地址】本地下载 PC Shrinker 0.71.rar

【加壳方式】 PC Shrinker 0.71 -> Virogen

【保护方式】 PC Shrinker压缩壳

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：)

--------------------------------------------------------------------------------

【脱壳内容】

这个程序的压缩选项是非常丰富的,从界面中也没有加密选项，无效隐藏OD和设置异常。

先看看它加壳的记事本

本地下载 NOTEPAD.rar

首先Peid查壳，为PC Shrinker 0.71 -> Virogen，OD载入运行，无任何异常，判断其为压缩壳。

0040AAFB >  9C             PUSHFD //记事本外壳入口。
0040AAFC 60             PUSHAD  //仍然是ESP定律
0040AAFD BD B7710000    MOV EBP,71B7  //这里的ESP为12FFA0
0040AB02 01AD 543A4000 ADD DWORD PTR SS:[EBP+403A54],EBP
0040AB08 FFB5 503A4000 PUSH DWORD PTR SS:[EBP+403A50]
0040AB0E 6A 40          PUSH 40
0040AB10 FF95 883A4000 CALL DWORD PTR SS:[EBP+403A88]
0040AB16 50             PUSH EAX
0040AB17 50             PUSH EAX
0040AB18 2D 7D394000    SUB EAX,NOTEPAD.0040397D
0040AB1D 8985 7E394000 MOV DWORD PTR SS:[EBP+40397E],EAX
0040AB23 5F             POP EDI
0040AB24 8DB5 7D394000 LEA ESI,DWORD PTR SS:[EBP+40397D]
0040AB2A B9 FC000000    MOV ECX,0FC
0040AB2F F3:A5          REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0040AB31 5F             POP EDI
0040AB32 FFE7          JMP EDI
..................................................

命令行 dd 12ffa0

下硬件访问-Dword断点。

F9运行

硬件中断。

标签1

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

0040AAFB >  9C             PUSHFD //记事本外壳入口。
0040AAFC 60             PUSHAD  //

解压缩过程，就是我们以前慢慢跟踪的一下循环圈。

00132DC6 61             POPAD //堆栈平衡，完全工整对应。
00132DC7 9D             POPFD  //这里是出口，我们断在这里。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

00132DC6 61             POPAD
00132DC7 9D             POPFD  //这里是出口，我们断在这里。转标签1看看
00132DC8 BA CC104000    MOV EDX,4010CC
00132DCD FFE2          JMP EDX  //EDX=4010CC,这个是地球人都只道的记事本的OEP

004010CC 55             PUSH EBP //在这里用Loadpe直接脱壳
004010CD 8BEC          MOV EBP,ESP
004010CF 83EC 44       SUB ESP,44
004010D2 56             PUSH ESI //我们看到加密表没有破坏,往下看到KERNEL32.GetCommandLineA
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4]             ; KERNEL32.GetCommandLineA
004010D9 8BF0          MOV ESI,EAX
004010DB 8A00          MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22          CMP AL,22
004010DF 75 1B          JNZ SHORT NOTEPAD.004010FC
004010E1 56             PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[4064F4]             ; USER32.CharNextA
004010E8 8BF0          MOV ESI,EAX
004010EA 8A00          MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0          TEST AL,AL
004010EE 74 04          JE SHORT NOTEPAD.004010F4
004010F0 3C 22          CMP AL,22
004010F2  ^ 75 ED          JNZ SHORT NOTEPAD.004010E1
...........................................................

运行ImportREC，选择这个进程。把OEP改为000010cc，点IT AutoSearch，点“Get Import”,函数都是有效的。FixDump，正常运行,记事本脱壳完毕。

脱壳主程序

继续OD载入它的主程序。

004066F8 >  9C             PUSHFD //主程序外壳入口。
004066F9 60             PUSHAD  //从这这句过后用ESP定律吧，
004066FA BD B42D0000    MOV EBP,2DB4  //到这里ESP=19ffa0
004066FF 01AD 543A4000 ADD DWORD PTR SS:[EBP+403A54],EBP
00406705 FFB5 503A4000 PUSH DWORD PTR SS:[EBP+403A50]
0040670B 6A 40          PUSH 40
0040670D FF95 883A4000 CALL DWORD PTR SS:[EBP+403A88]
00406713 50             PUSH EAX
00406714 50             PUSH EAX
00406715 2D 7D394000    SUB EAX,PCSHRINK.0040397D
0040671A 8985 7E394000 MOV DWORD PTR SS:[EBP+40397E],EAX
00406720 5F             POP EDI
00406721 8DB5 7D394000 LEA ESI,DWORD PTR SS:[EBP+40397D]
00406727 B9 FC000000    MOV ECX,0FC
0040672C F3:A5          REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0040672E 5F             POP EDI
0040672F FFE7          JMP EDI
................................................................................

dd 19ffa0

下硬件访问-Dword断点。

F9运行

硬件中断。

001A2DD6 61             POPAD
001A2DD7 9D             POPFD  //堆栈平衡
001A2DD8 BA 00104000    MOV EDX,401000
001A2DDD FFE2          JMP EDX  //EDX=401000是主程序的OEP

00401000    E8          DB E8  //这种情况大家应该见多了，点右键-分析-清除分析。
00401001    05          DB 05
00401002    16          DB 16
00401003    00          DB 00
00401004    00          DB 00
00401005    A3          DB A3
00401006    DF          DB DF
00401007    37          DB 37                                  ;  CHAR '7'
00401008    40          DB 40                                  ;  CHAR '@'
00401009    00          DB 00
0040100A    E8          DB E8
0040100B    BF          DB BF
0040100C    15          DB 15
0040100D    00          DB 00
0040100E    00          DB 00
0040100F    0B          DB 0B
00401010    C0          DB C0
...................................................................

00401000 E8 05160000    CALL PCSHRINK.0040260A //从文件大小也知道是汇编语言写的壳,Loadpe脱壳吧
00401005 A3 DF374000    MOV DWORD PTR DS:[4037DF],EAX
0040100A E8 BF150000    CALL PCSHRINK.004025CE                ; JMP to KERNEL32.GetCommandLineA
0040100F 0BC0          OR EAX,EAX
00401011 74 39          JE SHORT PCSHRINK.0040104C
00401013 96             XCHG EAX,ESI
00401014 803E 00       CMP BYTE PTR DS:[ESI],0
00401017 74 33          JE SHORT PCSHRINK.0040104C
00401019 C1E0 08       SHL EAX,8
0040101C AC             LODS BYTE PTR DS:[ESI]
0040101D 3D 6B6E6972    CMP EAX,72696E6B
00401022 75 05          JNZ SHORT PCSHRINK.00401029
00401024 803E 2E       CMP BYTE PTR DS:[ESI],2E
00401027 75 0E          JNZ SHORT PCSHRINK.00401037
00401029 3D 6578652E    CMP EAX,2E657865
0040102E 74 07          JE SHORT PCSHRINK.00401037
...................................................................

运行ImportREC，选择这个进程。把OEP改为00001000，点IT AutoSearch，点“Get Import”,函数都是有效的。FixDump，正常运行。

手动脱壳入门第十七篇 VGCrypt PE Encryptor V0.75

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 17:24:10 +0800

【脱文标题】手动脱壳入门第十七篇 VGCrypt PE Encryptor V0.75

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC

【脱壳平台】 Win2K/XP

【软件名称】 VGCrypt PE Encryptor V0.75

【软件简介】 This is a fairly simple PE encryptor I wrote up. I commented everything that is relavent to PE appendation or insertion, more so than I needed to even. The most interesting feature of this encryptor is that it attempts to find a location to insert itself between object virtual size and the next file alignment boundary, thus not changing the physical file size.

【软件大小】 16 KB

【下载地址】本地下载 Vgcrypt.rar

【加壳方式】 Virogen Crypt 0.75

【保护方式】 Virogen Crypt资源保护壳

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：)

--------------------------------------------------------------------------------

【脱壳内容】

下载这个程序,用 Vgcrypt Notepad.exe  的命令行方法压缩了一个Win98的记事本,倒,原文件大小等于压缩后大小52K,程序也没有加密IAT,仅仅搞乱了Code段,让你无法反汇编,用资源编辑软件发现可以编辑资源。

加壳记事本

本地下载 Notepad.rar

首先Peid查壳，为Virogen Crypt 0.75，OD载入运行，无任何异常，判断其为压缩壳。

0040584C >  9C             PUSHFD    //记事本外壳入口。
0040584D 55             PUSH EBP
0040584E E8 EC000000    CALL 1.0040593F
00405853 87D5          XCHG EBP,EDX
00405855 5D             POP EBP
00405856 60             PUSHAD //从这这句过后用ESP定律吧，
00405857 87D5          XCHG EBP,EDX  //到这里ESP=12ffa0
00405859 80BD 15274000 0>CMP BYTE PTR SS:[EBP+402715],1
00405860 74 39          JE SHORT 1.0040589B
00405862 C685 15274000 0>MOV BYTE PTR SS:[EBP+402715],1
00405869 E9 E4000000    JMP 1.00405952
0040586E  - E9 79DAFF90    JMP 914032EC
00405873 D6             SALC
00405874 64:CE          INTO                                  ; 多余的前缀
00405876 E4 3C          IN AL,3C                               ; I/O 命令
00405878 40             INC EAX
00405879 94             XCHG EAX,ESP
0040587A 65:EC          IN AL,DX                               ; I/O 命令
0040587C  ^ 78 8D          JS SHORT 1.0040580B
.............................................................

dd 12ffa0

下硬件访问-Dword断点。

F9运行

硬件中断。

004058A8 9D             POPFD  //堆栈平衡
004058A9 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX+402709]
004058AF 898A 09274000 MOV DWORD PTR DS:[EDX+402709],ECX
004058B5 FFE3          JMP EBX  //跳往OEP 4010CC

004010CC    55          DB 55    //右键清除分析
004010CD    8B          DB 8B
004010CE    EC          DB EC
004010CF    83          DB 83
004010D0    EC          DB EC
004010D1    44          DB 44                                  ;  CHAR 'D'
004010D2    56          DB 56                                  ;  CHAR 'V'
004010D3    FF          DB FF
004010D4    15          DB 15
004010D5 .  E4634000    DD <&KERNEL32.GetCommandLineA>
004010D9    8B          DB 8B
004010DA    F0          DB F0
004010DB    8A          DB 8A
004010DC    00          DB 00
004010DD    3C          DB 3C                                  ;  CHAR '<'
004010DE    22          DB 22                                  ;  CHAR '"'
004010DF    75          DB 75                                  ;  CHAR 'u'
................................................................................

004010CC 55             PUSH EBP //在这里用Loadpe直接脱壳
004010CD 8BEC          MOV EBP,ESP
004010CF 83EC 44       SUB ESP,44
004010D2 56             PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; KERNEL32.GetCommandLineA
004010D9 8BF0          MOV ESI,EAX
004010DB 8A00          MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22          CMP AL,22
004010DF 75 1B          JNZ SHORT 1.004010FC
004010E1 56             PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[<&USER32.CharNextA>]  ; USER32.CharNextA
004010E8 8BF0          MOV ESI,EAX
004010EA 8A00          MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0          TEST AL,AL
004010EE 74 04          JE SHORT 1.004010F4
004010F0 3C 22          CMP AL,22
004010F2  ^ 75 ED          JNZ SHORT 1.004010E1
004010F4 803E 22       CMP BYTE PTR DS:[ESI],22
................................................................................

运行ImportREC，选择这个进程。把OEP改为000010cc，点IT AutoSearch，点“Get Import”,函数都是有效的。FixDump，无法运行。倒，用Loadpe重建Pe,正常运行。

继续OD载入它的主程序。

00408000 >  9C             PUSHFD  //主程序外壳入口。
00408001 55             PUSH EBP
00408002 E8 EC000000    CALL Vgcrypt.004080F3
00408007 87D5          XCHG EBP,EDX
00408009 5D             POP EBP
0040800A 60             PUSHAD    //从这这句过后用ESP定律吧，
0040800B 87D5          XCHG EBP,EDX    //到这里ESP=12ffa0
0040800D 80BD 15274000 0>CMP BYTE PTR SS:[EBP+402715],1
00408014 74 39          JE SHORT Vgcrypt.0040804F
00408016 C685 15274000 0>MOV BYTE PTR SS:[EBP+402715],1
0040801D E9 E4000000    JMP Vgcrypt.00408106
00408022  - E9 93819AFE    JMP FEDB01BA
................................................................................

dd 12ffa0

下硬件访问-Dword断点。

F9运行

硬件中断。

0040805C 9D             POPFD  //堆栈平衡
0040805D 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX+402709]
00408063 898A 09274000 MOV DWORD PTR DS:[EDX+402709],ECX
00408069 FFE3          JMP EBX  //外壳出口，跳向Oep吗?

00407000 9C             PUSHFD  //到这里，和最外层入口一样，原来有多层壳。
00407001 55             PUSH EBP
00407002 E8 EC000000    CALL Vgcrypt.004070F3
00407007 87D5          XCHG EBP,EDX
00407009 5D             POP EBP
0040700A 60             PUSHAD //还是Esp定律，不过硬件断点不变。
0040700B 87D5          XCHG EBP,EDX  //F8单步到这里按F9
0040700D 80BD 15274000 0>CMP BYTE PTR SS:[EBP+402715],1
00407014 74 39          JE SHORT Vgcrypt.0040704F
00407016 C685 15274000 0>MOV BYTE PTR SS:[EBP+402715],1
0040701D E9 E4000000    JMP Vgcrypt.00407106
00407022  - E9 E3C097F2    JMP F2D8310A
00407027 5F             POP EDI
00407028 9A 45F25421 197>CALL FAR 7B19:2154F245                ; 远距呼叫
................................................................................

0040705C 9D             POPFD
0040705D 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX+402709]
00407063 898A 09274000 MOV DWORD PTR DS:[EDX+402709],ECX
00407069 FFE3          JMP EBX  //进入第三层壳。

00406000 9C             PUSHFD
00406001 55             PUSH EBP
00406002 E8 EC000000    CALL Vgcrypt.004060F3
00406007 87D5          XCHG EBP,EDX
00406009 5D             POP EBP
0040600A 60             PUSHAD    //还是Esp定律，不过硬件断点不变。
0040600B 87D5          XCHG EBP,EDX //F8单步到这里按F9
0040600D 80BD 15274000 0>CMP BYTE PTR SS:[EBP+402715],1
00406014 74 39          JE SHORT Vgcrypt.0040604F
00406016 C685 15274000 0>MOV BYTE PTR SS:[EBP+402715],1
0040601D E9 E4000000    JMP Vgcrypt.00406106
00406022  - E9 E0B4662D    JMP 2DA71507
................................................................................

0040605C 9D             POPFD
0040605D 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX+402709]
00406063 898A 09274000 MOV DWORD PTR DS:[EDX+402709],ECX
00406069 FFE3          JMP EBX  //进入第四层壳。

00405000 9C             PUSHFD
00405001 55             PUSH EBP
00405002 E8 EC000000    CALL Vgcrypt.004050F3
00405007 87D5          XCHG EBP,EDX
00405009 5D             POP EBP
0040500A 60             PUSHAD          //还是Esp定律，不过硬件断点不变。
0040500B 87D5          XCHG EBP,EDX    //F8单步到这里按F9
0040500D 80BD 15274000 0>CMP BYTE PTR SS:[EBP+402715],1
00405014 74 39          JE SHORT Vgcrypt.0040504F
00405016 C685 15274000 0>MOV BYTE PTR SS:[EBP+402715],1
0040501D E9 E4000000    JMP Vgcrypt.00405106
00405022  - E9 BBE11B00    JMP 005C31E2
00405027 94             XCHG EAX,ESP
00405028 6D             INS DWORD PTR ES:[EDI],DX             ; I/O 命令
................................................................................

0040505C 9D             POPFD
0040505D 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX+402709]
00405063 898A 09274000 MOV DWORD PTR DS:[EDX+402709],ECX
00405069 FFE3          JMP EBX //EBX=401000，程序OEP入口。

00401000    E8          DB E8  //这里右键清除分析。
00401001    51          DB 51                                  ;  CHAR 'Q'
00401002    06          DB 06
00401003    00          DB 00
00401004    00          DB 00
00401005    0B          DB 0B
00401006    C0          DB C0
00401007    0F          DB 0F
00401008    84          DB 84
00401009    D8          DB D8
0040100A    00          DB 00
0040100B    00          DB 00
0040100C    00          DB 00
0040100D    96          DB 96
0040100E    80          DB 80
0040100F    3E          DB 3E                                  ;  CHAR '>'
00401010    00          DB 00
................................................................................

00401000 E8 51060000    CALL   //汇编语言入口，这里用Loadpe直接脱壳。
00401005 0BC0          OR EAX,EAX
00401007 0F84 D8000000 JE Vgcrypt.004010E5
0040100D 96             XCHG EAX,ESI
0040100E 803E 00       CMP BYTE PTR DS:[ESI],0
00401011 0F84 CE000000 JE Vgcrypt.004010E5
00401017 C1E0 08       SHL EAX,8
0040101A AC             LODS BYTE PTR DS:[ESI]
0040101B 3D 74707972    CMP EAX,72797074
00401020 75 05          JNZ SHORT Vgcrypt.00401027
00401022 803E 2E       CMP BYTE PTR DS:[ESI],2E
00401025 75 0E          JNZ SHORT Vgcrypt.00401035
00401027 3D 6578652E    CMP EAX,2E657865
0040102C 74 07          JE SHORT Vgcrypt.00401035
0040102E 3D 4558452E    CMP EAX,2E455845
00401033  ^ 75 D9          JNZ SHORT Vgcrypt.0040100E
00401035 AC             LODS BYTE PTR DS:[ESI]
00401036 3C 20          CMP AL,20
................................................................................

运行ImportREC，选择这个进程。把OEP改为00001000，点IT AutoSearch，点“Get Import”，函数都是有效的。FixDump，正常运行。

手动脱壳入门第十六篇 MoleBox 2.x

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 17:07:31 +0800

【脱文标题】手动脱壳入门第十六篇 MoleBox 2.x

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC1.6f,Loadpe

【脱壳平台】 Win2K/XP

【软件名称】 IMCaster ICQ E-Marketer

【软件简介】 IMCaster ICQ E-Marketer是一个强大的ICQ即时信息查找工具。你可以根据不同的条件（如：性别、年龄、国家或者职业等等）搜索在线ICQ用户，向他们发送信息以提高你网站或企业的知名度。

【软件大小】 2.61M

【下载地址】 http://www.imcaster.com/Downloads/IMCastSetupEnt.exe

【加壳方式】 MoleBox 2.x.x -> Mole Studio [Overlay]

【保护方式】 MoleBox压缩壳

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：)

--------------------------------------------------------------------------------

【脱壳内容】

首先Peid查壳，为MoleBox 2.x.x -> Mole Studio [Overlay]，OD载入运行，无任何异常，判断其为压缩壳。

004CD61C >  60             pushad          //外壳入口，和Upx等查不多。当我们脱壳上一个台阶后，普通壳就不用慢慢跟踪了。
004CD61D E8 4F000000    call imcast.004CD671  //F8单步到这里，看Esp=0012FFA4
004CD622 2120          and dword ptr ds:[eax], esp
004CD624 76 41          jbe short imcast.004CD667
004CD626 B4 13          mov ah, 13
004CD628 3B63 51       cmp esp, dword ptr ds:[ebx+51]
004CD62B 38CA          cmp dl, cl
004CD62D D8ACD0 BBB52910 fsubr dword ptr ds:[eax+edx*8+1029B5BB]
004CD634 9F             lahf
004CD635 A7             cmps dword ptr ds:[esi], dword ptr es:[e>
004CD636 9B             wait
004CD637 BD B2BB61F4    mov ebp, F461BBB2
004CD63C B4 C9          mov ah, 0C9
004CD63E 17             pop ss
004CD63F BB 652286EE    mov ebx, EE862265
004CD644 97             xchg eax, edi
004CD645 2AED          sub ch, ch
004CD647 30DD          xor ch, bl
004CD649 BB A64DED09    mov ebx, 9ED4DA6
004CD64E 5D             pop ebp
004CD64F FC             cld
004CD650 B7 01          mov bh, 1
004CD652 C01A AD       rcr byte ptr ds:[edx], 0AD
004CD655 DFEF          fucomip st, st(7)
004CD657 FD             std
004CD658 ED             in eax, dx
004CD659 A7             cmps dword ptr ds:[esi], dword ptr es:[e>
004CD65A 6A 38          push 38
004CD65C CE             into
............................................................................
启用Esp定律。

dd 12ffa4

下硬件访问-Dword断点。

F9运行

硬件中断。

004CD5D0 61             popad    //  关键字
004CD5D1  - FFE0          jmp eax // 断在这里,往上看到Popad关键字

0048636F 55             push ebp  //F8到达Oep,Loadpe直接脱壳。
00486370 8BEC          mov ebp, esp
00486372 6A FF          push -1
00486374 68 E0144900    push imcast.004914E0
00486379 68 2C654800    push imcast.0048652C                   ; jmp to MSVCRT._except_handler3
0048637E 64:A1 00000000  mov eax, dword ptr fs:[0]
00486384 50             push eax
00486385 64:8925 0000000>mov dword ptr fs:[0], esp
0048638C 83EC 68       sub esp, 68
0048638F 53             push ebx
00486390 56             push esi
00486391 57             push edi
00486392 8965 E8       mov dword ptr ss:[ebp-18], esp
00486395 33DB          xor ebx, ebx
00486397 895D FC       mov dword ptr ss:[ebp-4], ebx
0048639A 6A 02          push 2
0048639C FF15 C4984800 call dword ptr ds:[4898C4]             ; MSVCRT.__set_app_type
004863A2 59             pop ecx
004863A3 830D B42C4A00 F>or dword ptr ds:[4A2CB4], FFFFFFFF
004863AA 830D B82C4A00 F>or dword ptr ds:[4A2CB8], FFFFFFFF
004863B1 FF15 C8984800 call dword ptr ds:[4898C8]             ; MSVCRT.__p__fmode
............................................................................

脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)

在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。

千万别用等级1修复，看看如图，等级修复的些什么，这些假东西保存程序肯定无法运行的。

screen.width-333) {this.width=screen.width-333;this.alt='Click Here to Open New Window';}" border=0 pop="Click Here to Open New Window">

呵呵，用跟踪等级3为我们修复3个，剩下6个就靠我们自己了。

我以 00089100 处 004D48A8 处的指针修复举个例子。

右键－反汇编/16进制显示

004D48BF call [4D80F0] // = kernel32.dll/001F/CloseHandle  //这里最先看到CloseHandle就是我们要修复的指针。

其余的方法一样，注意并不是所有的脱壳程序都可以用这个方法，如Asprotect 1.23rc4无法修复的指针就可以用这个办法修复,切勿过于依赖，每个加密壳处理方法都不相同。

于是我们手动填入 CloseHandle

同理修复。

00089120  004D4793

为

CreateFileA

0008912C  004D498A

为

GetFileAttributesA

00089148  004D4BC9

为

UnmapViewOfFile

0008914C  004D4B8A

为

MapViewOfFile

0008915C  004D49B0

为

CreateFileMappingA

全部指针修复，修复抓取文件，正常运行。

破解龙岱客已经分析的很清楚。

相关页面

http://cnxhacker.net/article/show/1743.html

【破解小结】

我很忙,没时间总结了,谢谢大家耐心看完!

手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密

【脱文动画】http://cnxhacker.net/download/show/662.html

【脱文标题】手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC1.6f,Loadpe

【脱壳平台】 Win2K/XP

【软件名称】 IMCaster ICQ E-Marketer

【软件简介】 IMCaster ICQ E-Marketer是一个强大的ICQ即时信息查找工具。你可以根据不同的条件（如：性别、年龄、国家或者职业等等）搜索在线ICQ用户，向他们发送信息以提高你网站或企业的知名度。

【软件大小】 2.61M

【下载地址】 http://www.imcaster.com/Downloads/IMCastSetupEnt.exe 或二哥推荐的教学篇里面下载

【加壳方式】 MoleBox 2.x.x -> Mole Studio [Overlay]

【保护方式】 MoleBox压缩壳

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：)

--------------------------------------------------------------------------------

【脱壳内容】

首先Peid查壳，为MoleBox 2.x.x -> Mole Studio [Overlay]，OD载入运行，无任何异常，判断其为压缩壳。

前面二哥的修复方法大家都看到了，继然IAT可以加密就可以IAT解密，实际是跳过。

一口气写OD脱壳脚本写到16篇后发现这篇IAT被加密了，只写个找OEP的脚本没意思，要写脚本首先得会脱这个壳。

脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)

在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。

IAT的起始地址是89000,大小B80

根据Imprec提示89110 处的指针被加密

就从这里入手，也可以随便找个加密指针处入手。

OD载入程序，命令行

Hw 489110

因为这个地址先前写入的地址是对的，然后程序将这个地址加密为Imprec不认识的东西，我们就要跟踪这个过程。

F9运行

004D1237    8B45 F8          mov eax,dword ptr ss:[ebp-8]    ; imcast.00489110
004D123A    40                inc eax
004D123B    40                inc eax
004D123C    8945 F8          mov dword ptr ss:[ebp-8],eax
004D123F    0FB745 E2          movzx eax,word ptr ss:[ebp-1E]
004D1243    C1F8 08          sar eax,8
004D1246    0FB74D E2          movzx ecx,word ptr ss:[ebp-1E]

堆栈友好提示

0012FCD8 7FFDF000
0012FCDC 47D047D0
0012FCE0 47334733
0012FCE4 5EBC5EBC
0012FCE8 72BF72BF

继续3次F9，注意堆栈友好提示

004D13CE    FF15 24804D00    call dword ptr ds:[<&KERNEL32.Get>; KERNEL32.GetProcAddress
004D13D4    8B4D F0          mov ecx,dword ptr ss:[ebp-10]
004D13D7    8901             mov dword ptr ds:[ecx],eax
004D13D9    EB 26             jmp short imcast.004D1401
004D13DB    8B55 F0          mov edx,dword ptr ss:[ebp-10]
004D13DE    8B02             mov eax,dword ptr ds:[edx]
004D13E0    25 FFFF0000       and eax,0FFFF
004D13E5    50                push eax
004D13E6    8B4D F4          mov ecx,dword ptr ss:[ebp-C]
004D13E9    51                push ecx
004D13EA    FF15 24804D00    call dword ptr ds:[<&KERNEL32.Get>; KERNEL32.GetProcAddress

堆栈友好提示

0012FE2C 77E7ED4C  KERNEL32.SetFilePointer //这个和EAX中是一样的，都是正确指针
0012FE30 6BC4B4AC  MFC42.#1576
0012FE34 0049428A  imcast.0049428A
0012FE38 004943FE  ASCII "KERNEL32.dll"
0012FE3C 00489110  imcast.00489110
0012FE40 77E60000  KERNEL32.77E60000
0012FE44 00493294  imcast.00493294

现在我们

dd 489110 往上看到489100被加密了，呵呵,我说过可以随便找个加密指针处入手。

004D13D9 /EB 26             jmp short imcast.004D1401

004D1401    8B4D EC          mov ecx,dword ptr ss:[ebp-14]    ; imcast.004943FE
004D1404    51                push ecx
004D1405    8B55 F0          mov edx,dword ptr ss:[ebp-10]
004D1408    52                push edx
004D1409    E8 12050000       call imcast.004D1920 //如果单步过了这里，就Over了。显然它是个加密Call，NOP掉程序正常运行，进去看看。

******************************************

004D1920    55                push ebp
004D1921    8BEC             mov ebp,esp
004D1923    83EC 10          sub esp,10
004D1926    C745 FC 00000000 mov dword ptr ss:[ebp-4],0
004D192D    833D 30F04D00 00 cmp dword ptr ds:[4DF030],0
004D1934    75 0A             jnz short imcast.004D1940

004D1940    8B45 08          mov eax,dword ptr ss:[ebp+8]  //注意这时EAX=77E7ED4C是正确指针
004D1943    8B08             mov ecx,dword ptr ds:[eax]
004D1945    51                push ecx
004D1946    8B0D 30F04D00    mov ecx,dword ptr ds:[4DF030]
004D194C    E8 AB380000       call imcast.004D51FC
004D1951    8945 F8          mov dword ptr ss:[ebp-8],eax
004D1954    837D F8 00       cmp dword ptr ss:[ebp-8],0
004D1958    74 45             je short imcast.004D199F
004D195A    8D55 F0          lea edx,dword ptr ss:[ebp-10]
004D195D    52                push edx
004D195E    6A 04             push 4
004D1960    6A 04             push 4
004D1962    8B45 08          mov eax,dword ptr ss:[ebp+8]
004D1965    50                push eax
004D1966    FF15 70804D00    call dword ptr ds:[<&KERNEL32.Vir>; KERNEL32.VirtualProtect
004D196C    85C0             test eax,eax
004D196E    75 0A             jnz short imcast.004D197A

004D197A    8B4D 08          mov ecx,dword ptr ss:[ebp+8]
004D197D    8B55 F8          mov edx,dword ptr ss:[ebp-8]
004D1980    8B02             mov eax,dword ptr ds:[edx]
004D1982    8901             mov dword ptr ds:[ecx],eax //可恶这里; imcast.004D490E
EAX=004D490E  dword ptr ds:[ecx] 是推算被加密的地址00489110,实际也是,看OD信息框就知道了。我们必需让EAX是正确的指针。我们看到004D1940 处EAX被赋值，而且当时的EAX是正确指针。

这就容易了

004D1940    8B45 08          mov eax,dword ptr ss:[ebp+8]

修改为

004D1940    8BC0             mov eax,eax                      ; KERNEL32.SetFilePointer
004D1942    90                nop

自给自足

004D1984    8D4D F4          lea ecx,dword ptr ss:[ebp-C]
004D1987    51                push ecx
004D1988    8B55 F0          mov edx,dword ptr ss:[ebp-10]
004D198B    52                push edx
004D198C    6A 04             push 4
004D198E    8B45 08          mov eax,dword ptr ss:[ebp+8]

******************************************

你再

dd 489110 看看就知道了

004D140E    83C4 08          add esp,8
004D1411 ^ E9 79FFFFFF       jmp imcast.004D138F

....................................................................

好啦，运筹帷幄完毕，既然三次硬件中断时489100被加密了，唉，实际要从489100入手的，怪我一时看错了起始加密指针位置，希望不会误导读者，它实际是循环加密指针，004D1940 会执行N次，从加密指针任何一个地方下断，最终会来到这里，希望大家看懂方法。不过可以补救，重启OD

hr 12ffa4

F9运行，中断两次

为什么不三次，因为我是对489110处下猫腻断点，489100处猫腻时就拦不住了，所以只能两次，然后提前在猫腻前反猫腻。

Ctrl+G 修改

004D1940    8B45 08          mov eax,dword ptr ss:[ebp+8]

修改为

004D1940    8BC0             mov eax,eax                      ; KERNEL32.SetFilePointer
004D1942    90                nop

取消489110处的硬件断点

F9运行

004CD5D0    61                popad
004CD5D1 - FFE0             jmp eax //飞向光明之巅

0048636F    55                push ebp //Loadpe脱壳
00486370    8BEC             mov ebp,esp
00486372    6A FF             push -1
00486374    68 E0144900       push imcast.004914E0
00486379    68 2C654800       push imcast.0048652C             ; jmp to MSVCRT._except_handler3
0048637E    64:A1 00000000    mov eax,dword ptr fs:[0]
00486384    50                push eax
00486385    64:8925 00000000 mov dword ptr fs:[0],esp
0048638C    83EC 68          sub esp,68
0048638F    53                push ebx
00486390    56                push esi
................................................................

在Oep处填8636F,点IT自动搜索,然后点获输入信息,全部有效，修复脱壳文件，正常运行。

// MoleBox 2.x跳过IAT加密 v0.1b
// This script will quickly put you at the OEP And Patch IAT of an MoleBox 2.x EXE.
// Just run it!

var addr

  sto
  mov addr,esp  //Esp定律

  gpa "VirtualProtect","kernel32.dll"  //特征API
  bp $RESULT
  run

  bc $RESULT
  rtu

  find eip,#8901#  //查找特征加密语句
  bp $RESULT
  run
  bc $RESULT
  repl eip, #8901#, #9090#, 10  //替换为9090

  bphws addr,"r"
  run

  sto
  bphwc addr
  cmt eip,"OEP To Get,Please dumped it,Enjoy!"

手动脱壳入门第十五篇 FSG 1.33

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 16:59:16 +0800

【脱文标题】手动脱壳入门第十五篇 FSG 1.33

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC,Loadpe

【脱壳平台】 Win2K/XP

【软件名称】 Unpackme

【软件简介】 Loveboom用VB写的一个FSG压缩的脱壳练习程序

【软件大小】 2.65 KB

【下载地址】点击下载 FSG 1.33.rar

【加壳方式】 FSG 1.33 -> dulek/xt

【保护方式】 FSG压缩壳

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：)

--------------------------------------------------------------------------------

【脱壳内容】

首先Peid查壳，为FSG 1.33 -> dulek/xt，OD载入运行，无任何异常，判断其为压缩壳。

00404B58 >  BE A4014000    mov esi, fsg1_33.004001A4 //外壳入口。
00404B5D AD             lods dword ptr ds:[esi]
00404B5E 93             xchg eax, ebx
00404B5F AD             lods dword ptr ds:[esi]
00404B60 97             xchg eax, edi
00404B61 AD             lods dword ptr ds:[esi]
00404B62 56             push esi
00404B63 96             xchg eax, esi
00404B64 B2 80          mov dl, 80
00404B66 A4             movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80          mov dh, 80
00404B69 FF13          call dword ptr ds:[ebx]
00404B6B  ^ 73 F9          jnb short fsg1_33.00404B66
00404B6D 33C9          xor ecx, ecx
00404B6F FF13          call dword ptr ds:[ebx]
00404B71 73 16          jnb short fsg1_33.00404B89
00404B73 33C0          xor eax, eax
00404B75 FF13          call dword ptr ds:[ebx]
00404B77 73 1F          jnb short fsg1_33.00404B98

打开内存镜像，它工作区段就是404000 resources段里面，内存镜像断点没有作用。它也没有用PUSHAD等语句，ESP定律也不能用。据说FSG 1.33还有变形版本，单步慢慢跟踪太费时间，下API断点，也慢。

对付它最好的方法就是模拟跟踪，因为它没有SEH,模拟跟踪最好不过了。

内存镜像，项目 13
地址=00404000
大小=00001000 (4096.)
Owner=fsg1_33  00400000
区段=
包含=SFX,imports,resources  // 当前段是在404000里面。
类型=Imag 01001002
访问=R
初始访问=RWE

内存镜像，项目 12
地址=00401000
大小=00003000 (12288.)
Owner=fsg1_33  00400000
区段=
包含=code    //Oep肯定是在Code段里面。不管FSG在SFX,imports,resources区段里面解压，循环搞什么飞机。最后肯定要跨段访问401000

Code段。
类型=Imag 01001002
访问=R
初始访问=RWE

于是，命令行下

tc eip<404000       //模拟跟踪指令。

1分钟不到，Oep就到了。

00401160    68          db 68          //Oep,点清除分析看得习惯一点。
00401161    F8          db F8
00401162    13          db 13
00401163    40          db 40                                  ;  CHAR '@'
00401164    00          db 00
00401165    E8          db E8
00401166    F0          db F0
00401167    FF          db FF
00401168    FF          db FF
00401169    FF          db FF
0040116A    00          db 00
0040116B    00          db 00
0040116C    00          db 00
0040116D    00          db 00
0040116E    00          db 00
0040116F    00          db 00
00401170    30          db 30                                  ;  CHAR '0'
.........................................................................................

00401160 68 F8134000    push fsg1_33.004013F8 //熟悉的VB程序入口特征码，Loadpe直接脱壳。
00401165 E8 F0FFFFFF    call fsg1_33.0040115A                   ; jmp to MSVBVM60.ThunRTMain
0040116A 0000          add byte ptr ds:[eax], al
0040116C 0000          add byte ptr ds:[eax], al
0040116E 0000          add byte ptr ds:[eax], al
00401170 3000          xor byte ptr ds:[eax], al
00401172 0000          add byte ptr ds:[eax], al
00401174 3800          cmp byte ptr ds:[eax], al
00401176 0000          add byte ptr ds:[eax], al
00401178 0000          add byte ptr ds:[eax], al
0040117A 0000          add byte ptr ds:[eax], al
0040117C 95             xchg eax, ebp
0040117D  ^ 75 A7          jnz short fsg1_33.00401126
.........................................................................................

脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)

在Oep处填1160,点IT自动搜索,然后点获输入信息,看到输入表全部有效,点修复抓取文件按钮,选择Dump的文件,修复它,正常运行。

再看看API断点找Oep,单步跟踪FSG 1.33后，大家可以走捷径，当然是下API断点。

Btw:  前提是你有过单步跟踪Fsg的经验，不然你看不懂下面是什么意思。也就是第一次学某个壳要按正常方法单步跟踪找入口体会壳，不要取巧走捷径，精通了就可以走捷径脱壳。

00404B58 >  BE A4014000    mov esi, fsg1_33.004001A4  //外壳入口。
00404B5D AD             lods dword ptr ds:[esi]
00404B5E 93             xchg eax, ebx
00404B5F AD             lods dword ptr ds:[esi]
00404B60 97             xchg eax, edi
00404B61 AD             lods dword ptr ds:[esi]
00404B62 56             push esi
00404B63 96             xchg eax, esi
00404B64 B2 80          mov dl, 80
00404B66 A4             movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80          mov dh, 80
00404B69 FF13          call dword ptr ds:[ebx]
00404B6B  ^ 73 F9          jnb short fsg1_33.00404B66
00404B6D 33C9          xor ecx, ecx
00404B6F FF13          call dword ptr ds:[ebx]
00404B71 73 16          jnb short fsg1_33.00404B89
00404B73 33C0          xor eax, eax
00404B75 FF13          call dword ptr ds:[ebx]
00404B77 73 1F          jnb short fsg1_33.00404B98
00404B79 B6 80          mov dh, 80
00404B7B 41             inc ecx
00404B7C B0 10          mov al, 10
.........................................................................................

命令行

bp GetModuleHandleA

77E6AB06 >  55             push ebp  //中断后清除断点。
77E6AB07 8BEC          mov ebp, esp
77E6AB09 837D 08 00    cmp dword ptr ss:[ebp+8], 0
77E6AB0D 0F84 31F50000 je KERNEL32.77E7A044
77E6AB13 FF75 08       push dword ptr ss:[ebp+8]
77E6AB16 E8 9EC8FFFF    call KERNEL32.77E673B9
77E6AB1B 85C0          test eax, eax
77E6AB1D 74 08          je short KERNEL32.77E6AB27
77E6AB1F FF70 04       push dword ptr ds:[eax+4]
77E6AB22 E8 5B560000    call KERNEL32.GetModuleHandleW
77E6AB27 5D             pop ebp
77E6AB28 C2 0400       retn 4
77E6AB2B >  55             push ebp
77E6AB2C 8BEC          mov ebp, esp
77E6AB2E 6A 00          push 0
77E6AB30 FF75 18       push dword ptr ss:[ebp+18]
77E6AB33 FF75 14       push dword ptr ss:[ebp+14]
77E6AB36 FF75 10       push dword ptr ss:[ebp+10]
77E6AB39 FF75 0C       push dword ptr ss:[ebp+C]
77E6AB3C FF75 08       push dword ptr ss:[ebp+8]
77E6AB3F E8 132E0000    call KERNEL32.GetPrivateProfileStringW
.........................................................................................

ALT+F9 执行到用户代码。

00404BE6 95             xchg eax, ebp  // 到这里。
00404BE7 AC             lods byte ptr ds:[esi]
00404BE8 84C0          test al, al
00404BEA  ^ 75 FB          jnz short fsg1_33.00404BE7
00404BEC FE0E          dec byte ptr ds:[esi]
00404BEE  ^ 74 F0          je short fsg1_33.00404BE0
00404BF0 79 05          jns short fsg1_33.00404BF7
00404BF2 46             inc esi
00404BF3 AD             lods dword ptr ds:[esi]
00404BF4 50             push eax
00404BF5 EB 09          jmp short fsg1_33.00404C00
00404BF7 FE0E          dec byte ptr ds:[esi]
00404BF9  - 0F84 61C5FFFF je fsg1_33.00401160
00404BFF 56             push esi
00404C00 55             push ebp
00404C01 FF53 04       call dword ptr ds:[ebx+4]
00404C04 AB             stos dword ptr es:[edi]
00404C05  ^ EB E0          jmp short fsg1_33.00404BE7
.........................................................................................

继续下

bp GetProcAddress

77E6E6A9 >  55             push ebp       //清除断点，Ctrl+F9返回。
77E6E6AA 8BEC          mov ebp, esp
77E6E6AC 51             push ecx
77E6E6AD 51             push ecx
77E6E6AE 53             push ebx
77E6E6AF 57             push edi
77E6E6B0 8B7D 0C       mov edi, dword ptr ss:[ebp+C]
77E6E6B3 BB FFFF0000    mov ebx, 0FFFF
77E6E6B8 3BFB          cmp edi, ebx
77E6E6BA 0F86 D3EB0000 jbe KERNEL32.77E7D293
77E6E6C0 8D45 F8       lea eax, dword ptr ss:[ebp-8]
77E6E6C3 57             push edi
77E6E6C4 50             push eax
77E6E6C5 FF15 2413E677 call dword ptr ds:[<&NTDLL.RtlInitString>; ntdll.RtlInitString
77E6E6CB 8D45 0C       lea eax, dword ptr ss:[ebp+C]
77E6E6CE 50             push eax
77E6E6CF 8D45 F8       lea eax, dword ptr ss:[ebp-8]
77E6E6D2 6A 00          push 0
77E6E6D4 50             push eax
77E6E6D5 6A 00          push 0
77E6E6D7 FF75 08       push dword ptr ss:[ebp+8]
77E6E6DA E8 15B10000    call KERNEL32.77E797F4
.........................................................................................

00404BE4 FF13          call dword ptr ds:[ebx]
00404BE6 95             xchg eax, ebp
00404BE7 AC             lods byte ptr ds:[esi]
00404BE8 84C0          test al, al
00404BEA  ^ 75 FB          jnz short fsg1_33.00404BE7
00404BEC FE0E          dec byte ptr ds:[esi]
00404BEE  ^ 74 F0          je short fsg1_33.00404BE0
00404BF0 79 05          jns short fsg1_33.00404BF7
00404BF2 46             inc esi
00404BF3 AD             lods dword ptr ds:[esi]
00404BF4 50             push eax
00404BF5 EB 09          jmp short fsg1_33.00404C00
00404BF7 FE0E          dec byte ptr ds:[esi]
00404BF9  - 0F84 61C5FFFF je fsg1_33.00401160 //这里跨段跳跃到4010000 段了，肯定是Oep入口跳转。
00404BFF 56             push esi
00404C00 55             push ebp
00404C01 FF53 04       call dword ptr ds:[ebx+4]
00404C04 AB             stos dword ptr es:[edi]  //返回到这里,滚动条往上看。
00404C05  ^ EB E0          jmp short fsg1_33.00404BE7
.........................................................................................

于是命令行。

g 401160

00401160    68          db 68          //Oep,点清除分析看得习惯一点。
00401161    F8          db F8
00401162    13          db 13
00401163    40          db 40                                  ;  CHAR '@'
00401164    00          db 00
00401165    E8          db E8
00401166    F0          db F0
00401167    FF          db FF
00401168    FF          db FF
00401169    FF          db FF
0040116A    00          db 00
0040116B    00          db 00
0040116C    00          db 00
0040116D    00          db 00
0040116E    00          db 00
0040116F    00          db 00
00401170    30          db 30                                  ;  CHAR '0'
.........................................................................................

00401160 68 F8134000    push fsg1_33.004013F8 //熟悉的VB程序入口特征码，Loadpe直接脱壳。
00401165 E8 F0FFFFFF    call fsg1_33.0040115A                   ; jmp to MSVBVM60.ThunRTMain
0040116A 0000          add byte ptr ds:[eax], al
0040116C 0000          add byte ptr ds:[eax], al
0040116E 0000          add byte ptr ds:[eax], al
00401170 3000          xor byte ptr ds:[eax], al
00401172 0000          add byte ptr ds:[eax], al
00401174 3800          cmp byte ptr ds:[eax], al
00401176 0000          add byte ptr ds:[eax], al
00401178 0000          add byte ptr ds:[eax], al
0040117A 0000          add byte ptr ds:[eax], al
0040117C 95             xchg eax, ebp
0040117D  ^ 75 A7          jnz short fsg1_33.00401126
.........................................................................................

脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)

在Oep处填1160,点IT自动搜索,然后点获输入信息,看到输入表全部有效,点修复抓取文件按钮,选择Dump的文件,修复它,正常运行。

手动脱壳入门第十四篇32Lite 0.03a

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 16:58:33 +0800

【脱文标题】手动脱壳入门第十四篇32Lite 0.03a

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC,Loadpe

【脱壳平台】 Win2K/XP

【软件名称】 QEDITOR

【软件简介】 masm 8.0 的编辑器

【软件大小】 33.1 KB

【下载地址】点击下载 QEDITOR.rar

【加壳方式】 32Lite 0.03a -> Oleg Prokhorov

【保护方式】 32Lite 压缩壳

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：)

--------------------------------------------------------------------------------

【脱壳内容】

首先Peid查壳，为32Lite 0.03a -> Oleg Prokhorov,没见过，OD载入运行，无任何异常，判断其为压缩壳。

还记得我发的修正练习脱壳软件帖子,为了方便大家练习脱壳，我找了五种语言的程序供大家用各种加密软件加壳练手,平时也可以用Od载入熟悉各种语言的特征码。

稍微说明一下:

每一种编译工具例如 : VC++ , Delphi , Borland , etc..

在OEP有一个唯一的/相同的PE头

其中的一些是这样的:

Push EBP
MOV Ebp,Esp    //观察入口点ESP值的变化规律，一般到这句后 ESP=12ffc0
Add ESP , -010  //F8执行到这句时，ESP=EBP=12ffc0  //利用这个特性我们很容易找到OEP+1的地址,或加密壳的stolen bytes 的位置。

Mov EAX, SOME_VALUE
(共11bytes)

看参考截图。

screen.width-333) {this.width=screen.width-333;this.alt='Click Here to Open New Window';}" border=0 pop="Click Here to Open New Window">

开始脱壳吧，首先找OEP入口。

00401000    60                pushad//进入OD后停在这
00401001    06                push es
00401002    FC                cld
00401003    1E                push ds
00401004    07                pop es
00401005    BE 00104000       mov esi,QEDITOR.
0040100A    6A 04             push 4
0040100C    68 00100000       push 1000
00401011    68 A3820000       push 82A3
00401016    6A 00             push 0
00401018    FF96 80B50100    call dword ptr ds:[esi+1B580]
.....................................................

命令行

d 12ffc0

在0012FFc0内存处的4个字节上下硬件写入－>DWord 断点

直接F9运行

00410D50 55             push ebp
00410D51 8BEC          mov ebp, esp  //直接断在OEP+1处，说明一下，脱壳并不一定要在入口点脱壳，假如我们断点在00410D89处，

我们一样可以脱壳，不过修复IAT是修正入口值为正确值就可以了，这个程序是10D50,这里用Loadpe脱壳。
00410D53 53             push ebx
00410D54 56             push esi
00410D55 57             push edi
00410D56 BB 00604100    mov ebx, QEDITOR.00416000
00410D5B 66:2E:F705 D213>test word ptr cs:[4113D2], 4
00410D65 0F85 DB000000 jnz QEDITOR.00410E46
00410D6B 6A 00          push 0
00410D6D FF15 54844100 call dword ptr ds:[418454]             ; OLE32.CoInitialize
00410D73 E8 92020000    call QEDITOR.0041100A
00410D78 C783 08010000 0>mov dword ptr ds:[ebx+108], 1
00410D82 8D83 90020000 lea eax, dword ptr ds:[ebx+290]
00410D88 50             push eax
00410D89 FF15 DC834100 call dword ptr ds:[4183DC]             ; KERNEL32.GetVersionExA  //看入口特征和下面两个API知道是C++程序。
00410D8F 83EC 44       sub esp, 44
00410D92 C70424 44000000 mov dword ptr ss:[esp], 44
00410D99 C74424 2C 00000>mov dword ptr ss:[esp+2C], 0
00410DA1 54             push esp
00410DA2 FF15 D4834100 call dword ptr ds:[4183D4]             ; KERNEL32.GetStartupInfoA
............................................................................

IAT压缩壳没有破坏它

运行ImportREC，选择这个进程。把OEP改为00010D50，点IT AutoSearch，点“Get Import”，FixDump，2K平台脱壳可以跨平台运行！

流行的ESP定律

00401000    60                pushad//进入OD后停在这
00401001    06                push es //堆栈平衡原理
00401002    FC                cld
00401003    1E                push ds
00401004    07                pop es
00401005    BE 00104000       mov esi,QEDITOR.
0040100A    6A 04             push 4
0040100C    68 00100000       push 1000
00401011    68 A3820000       push 82A3
00401016    6A 00             push 0
00401018    FF96 80B50100    call dword ptr ds:[esi+1B580]

F8过了00401001后ESP=0012FFA0。压缩壳使用ESP定律很有效，在0012FFA0内存处的4个字节上下硬件访问－>Word 断点。
F9运行，程序中断在003780E3处！

003780E3    68 00800000       push 8000  //堆栈平衡原理
003780E8    6A 00             push 0
003780EA    68 00003700       push 370000
003780EF    05 3C050000       add eax,53C
003780F4    50                push eax ; QEDITOR.0041C53C
003780F5    C3                retn//返回 0041C53C

0041C53C    FF96 84B50100    call dword ptr ds:[esi+1B584]  ; kernel32.VirtualFree
0041C542    61                popad  //关键字
0041C543    E9 0848FFFF       jmp QEDITOR.00410D50 //跳向入口

00410D50    55                push ebp //在这儿用LordPE脱壳
00410D51    8BEC             mov ebp,esp
00410D53    53                push ebx
00410D54    56                push esi
00410D55    57                push edi
00410D56    BB 00604100       mov ebx,QEDITOR.00416000
00410D5B    66:2E:F705 D2134100>test word ptr cs:[4113D2],4
00410D65    0F85 DB000000    jnz QEDITOR.00410E46
00410D6B    6A 00             push 0
00410D6D    FF15 54844100    call dword ptr ds:[418454] ; OLE32.CoInitialize

IAT压缩壳没有破坏它

运行ImportREC，选择这个进程。把OEP改为00010D50，点IT AutoSearch，点“Get Import”，FixDump，2K平台脱壳可以跨平台运行！

手动脱壳入门第十三篇PKLITE32 1.1

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 16:57:52 +0800

【脱文标题】手动脱壳入门第十三篇PKLITE32 1.1

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg

【脱壳平台】 Win2K/XP

【软件名称】 PKLITE32 1.1加壳的一个Win98的记事本

【软件简介】 The SHAREWARE version of PKLITE32 is intended for use on Windows 9x/NT 4.0 running on an x86/Pentium processor. If you distribute this Shareware version of PKLITE32 to friends, associates, or to a computer bulletin board (BBS), please distribute the entire installation program rather than the files contained therein.

【软件大小】 22.3 KB

【加壳方式】 PKLITE32 1.1 -> PKWARE Inc

【保护方式】 PKLITE32

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：

软件截图。

screen.width-333) {this.width=screen.width-333;this.alt='Click Here to Open New Window';}" border=0 pop="Click Here to Open New Window">

程序下载地址

本地下载 PKLITE32 1.1.rar

首先必须的工具要准备好
脱壳目标，PKLITE32 V1.1加壳的记事本。

本地下载 NOTEPAD.rar

软件后用PEiD测NOTEPAD.EXE的壳为PKLITE32 1.1 -> PKWARE Inc.
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。

用OD载入程序后。
确定一个错误载入警告，和WWPack32一样，难道是一个作者。然后Od提示程序加壳，选不继续分析。
停在这里
0040D000 >  68 80D04000    PUSH NOTEPAD.0040D080
0040D005 68 73154100    PUSH NOTEPAD.00411573
0040D00A 68 00000000    PUSH 0
0040D00F E8 5F450000    CALL NOTEPAD.00411573
0040D014  ^ E9 B340FFFF    JMP NOTEPAD.004010CC 直接跨断跳跃到Oep处。
0040D019 40             INC EAX
0040D01A 2823          SUB BYTE PTR DS:[EBX],AH
0040D01C 2950 4B       SUB DWORD PTR DS:[EAX+4B],EDX
0040D01F 4C             DEC ESP
0040D020 49             DEC ECX
.................................................................
004010CC 55             PUSH EBP  我们熟悉的入口点，我们在这里用Od的Dump插件直接脱壳。
004010CD 8BEC          MOV EBP,ESP
004010CF 83EC 44       SUB ESP,44
004010D2 56             PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; kernel32.GetCommandLineA
004010D9 8BF0          MOV ESI,EAX
004010DB 8A00          MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22          CMP AL,22
004010DF 75 1B          JNZ SHORT NOTEPAD.004010FC
004010E1 56             PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[<&USER32.CharNextA>]  ; USER32.CharNextA
004010E8 8BF0          MOV ESI,EAX
004010EA 8A00          MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0          TEST AL,AL

重建输入表时，插件有两个选项。Method2重建输入表很快，脱壳后运行率高。Method1重建输入表慢，脱壳后运行率较低。本程序用Method1,2重建输入表后程序都可直接运行。这个壳太简单，我们什么壳都见识一下绝对有好处。

手动脱壳入门第十二篇Dxpack 0.86

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 16:56:46 +0800

【脱文标题】手动脱壳入门第十二篇Dxpack 0.86

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg

【脱壳平台】 Win2K/XP

【软件名称】 Dxpack 0.86加壳的一个Win98的记事本

【软件简介】 Dxpack 是一Win32PE格式可执行文件压缩程序，程序界面有中英文两种。可以压缩资源，输入输出表。打开文件可以用三种方法，1:用界面上的打开按钮，2：直接拖放文件，3：右健菜单或命令行。主要目的是减少可执行文件的体积。兼可起到加密可执行文件的目的。程序压缩过后执行速度不会减慢，对于大的文件，甚至有所改善。由于时间有限，压缩算法采用Joergen Ibsen'"aPLib"库。没有自行研究压缩算法Joergen Ibsen'"aPLib"库可以免费用于个人用户,本程序及可免费用于个人用户。

【软件大小】 17.6 KB

【加壳方式】未知壳

【保护方式】 Dxpack

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：

软件截图。

screen.width-333) {this.width=screen.width-333;this.alt='Click Here to Open New Window';}" border=0 pop="Click Here to Open New Window">

程序下载地址

本地下载 Dapack.rar

首先必须的工具要准备好
脱壳目标，Dxpack0.86加壳的记事本。

本地下载 NOTEPAD.rar

用Peid或FI测NOTEPAD.EXE都不能识别，因为它是国产的壳，名气也不高，著名的终极上网提速软件就是用这个软件加的壳，并略作修改使Peid查不出Oep。两大查壳软件数据库中无它的特征码，不过在加壳目标用Peid查看Ep区段可看到.dxpack的加壳标志。看截图压缩选项和软件名可知道这个软件非加密壳,以压缩为目的.
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。

用OD载入程序后。
确定一个入口警告，然后Od提示程序加壳，选不继续分析。
停在这里
0040D000 >  60             PUSHAD  通过前面的文章是不是很熟悉这个指令了，出口处会有PopAd指令与它对应。
0040D001 E8 00000000    CALL NOTEPAD.0040D006 变形jmp
0040D006 5D             POP EBP
0040D007 8BFD          MOV EDI,EBP
0040D009 81ED 06104000 SUB EBP,NOTEPAD.00401006
0040D00F 2BBD 94124000 SUB EDI,DWORD PTR SS:[EBP+401294]
0040D015 81EF 06000000 SUB EDI,6
0040D01B 83BD 14134000 0>CMP DWORD PTR SS:[EBP+401314],1
0040D022 /0F84 2F010000 JE NOTEPAD.0040D157 这里没跳走，让我们到40D157看看
0040D028 |C785 14134000 0>MOV DWORD PTR SS:[EBP+401314],1
0040D032 |89BD 1C134000 MOV DWORD PTR SS:[EBP+40131C],EDI
0040D038 |8D9D B2114000 LEA EBX,DWORD PTR SS:[EBP+4011B2]
0040D03E |8DB5 65114000 LEA ESI,DWORD PTR SS:[EBP+401165]
0040D044 |46             INC ESI
0040D045 |803E 00       CMP BYTE PTR DS:[ESI],0
0040D048 |74 24          JE SHORT NOTEPAD.0040D06E
0040D04A |56             PUSH ESI
0040D04B |FF95 34124000 CALL DWORD PTR SS:[EBP+401234]
0040D051 |46             INC ESI
0040D052 |803E 00       CMP BYTE PTR DS:[ESI],0
0040D055  ^|75 FA          JNZ SHORT NOTEPAD.0040D051 中间的全是解压过程循环.
0040D057 |46             INC ESI
0040D058 |803E 00       CMP BYTE PTR DS:[ESI],0
0040D05B  ^|74 E7          JE SHORT NOTEPAD.0040D044
0040D05D |50             PUSH EAX
0040D05E |56             PUSH ESI
0040D05F |50             PUSH EAX
0040D060 |FF95 38124000 CALL DWORD PTR SS:[EBP+401238]
0040D066 |8903          MOV DWORD PTR DS:[EBX],EAX
0040D068 |58             POP EAX
0040D069 |83C3 04       ADD EBX,4
0040D06C  ^|EB E3          JMP SHORT NOTEPAD.0040D051
0040D06E |8DB5 A4124000 LEA ESI,DWORD PTR SS:[EBP+4012A4]
0040D074 |8B46 04       MOV EAX,DWORD PTR DS:[ESI+4]
0040D077 |6A 04          PUSH 4
0040D079 |68 00300000    PUSH 3000
0040D07E |50             PUSH EAX
0040D07F |6A 00          PUSH 0
0040D081 |FF95 B2114000 CALL DWORD PTR SS:[EBP+4011B2]
0040D087 |8985 61124000 MOV DWORD PTR SS:[EBP+401261],EAX
0040D08D |56             PUSH ESI
0040D08E |8B1E          MOV EBX,DWORD PTR DS:[ESI]
0040D090 |039D 1C134000 ADD EBX,DWORD PTR SS:[EBP+40131C]
0040D096 |50             PUSH EAX
0040D097 |53             PUSH EBX
0040D098 |E8 13030000    CALL NOTEPAD.0040D3B0
0040D09D |83C4 08       ADD ESP,8
0040D0A0 |8B4E 04       MOV ECX,DWORD PTR DS:[ESI+4]
0040D0A3 |8B3E          MOV EDI,DWORD PTR DS:[ESI]
0040D0A5 |03BD 1C134000 ADD EDI,DWORD PTR SS:[EBP+40131C]
0040D0AB |8BB5 61124000 MOV ESI,DWORD PTR SS:[EBP+401261]
0040D0B1 |F3:A4          REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0040D0B3 |5E             POP ESI
0040D0B4 |8B85 61124000 MOV EAX,DWORD PTR SS:[EBP+401261]
0040D0BA |68 00800000    PUSH 8000
0040D0BF |6A 00          PUSH 0
0040D0C1 |50             PUSH EAX
0040D0C2 |FF95 B6114000 CALL DWORD PTR SS:[EBP+4011B6]
0040D0C8 |83C6 08       ADD ESI,8
0040D0CB |833E 00       CMP DWORD PTR DS:[ESI],0
0040D0CE  ^|75 A4          JNZ SHORT NOTEPAD.0040D074
0040D0D0 |E8 4F020000    CALL NOTEPAD.0040D324
0040D0D5 |8BB5 98124000 MOV ESI,DWORD PTR SS:[EBP+401298]
0040D0DB |8BBD 1C134000 MOV EDI,DWORD PTR SS:[EBP+40131C]
0040D0E1 |8B443E 0C    MOV EAX,DWORD PTR DS:[ESI+EDI+C]
0040D0E5 |0BC0          OR EAX,EAX
0040D0E7 |74 6E          JE SHORT NOTEPAD.0040D157
0040D0E9 |03C7          ADD EAX,EDI
0040D0EB |50             PUSH EAX
0040D0EC |FF95 34124000 CALL DWORD PTR SS:[EBP+401234]
0040D0F2 |0BC0          OR EAX,EAX
0040D0F4 |74 43          JE SHORT NOTEPAD.0040D139
0040D0F6 |8B1C3E       MOV EBX,DWORD PTR DS:[ESI+EDI]
0040D0F9 |8B4C3E 10    MOV ECX,DWORD PTR DS:[ESI+EDI+10]
0040D0FD |83C6 14       ADD ESI,14
0040D100 |0BDB          OR EBX,EBX
0040D102 |75 02          JNZ SHORT NOTEPAD.0040D106
0040D104 |8BD9          MOV EBX,ECX
0040D106 |8B143B       MOV EDX,DWORD PTR DS:[EBX+EDI]
0040D109 |83C3 04       ADD EBX,4
0040D10C |0BD2          OR EDX,EDX
0040D10E  ^|74 D1          JE SHORT NOTEPAD.0040D0E1
0040D110 |F7C2 00000080 TEST EDX,80000000
0040D116 |74 05          JE SHORT NOTEPAD.0040D11D
0040D118 |0FB7D2       MOVZX EDX,DX
0040D11B |EB 04          JMP SHORT NOTEPAD.0040D121
0040D11D |8D543A 02    LEA EDX,DWORD PTR DS:[EDX+EDI+2]
0040D121 |50             PUSH EAX
0040D122 |51             PUSH ECX
0040D123 |52             PUSH EDX
0040D124 |50             PUSH EAX
0040D125 |FF95 38124000 CALL DWORD PTR SS:[EBP+401238]
0040D12B |59             POP ECX
0040D12C |0BC0          OR EAX,EAX
0040D12E |74 09          JE SHORT NOTEPAD.0040D139
0040D130 |890439       MOV DWORD PTR DS:[ECX+EDI],EAX
0040D133 |58             POP EAX
0040D134 |83C1 04       ADD ECX,4
0040D137  ^|EB CD          JMP SHORT NOTEPAD.0040D106  往回跳
0040D139 |8D8D 65124000 LEA ECX,DWORD PTR SS:[EBP+401265]
0040D13F |8D85 84124000 LEA EAX,DWORD PTR SS:[EBP+401284]
0040D145 |6A 00          PUSH 0
0040D147 |50             PUSH EAX
0040D148 |51             PUSH ECX
0040D149 |6A 00          PUSH 0
0040D14B |FF95 BE114000 CALL DWORD PTR SS:[EBP+4011BE]
0040D151 |FFA5 BA114000 JMP DWORD PTR SS:[EBP+4011BA]
0040D157 \8B85 9C124000 MOV EAX,DWORD PTR SS:[EBP+40129C] 到这里看看.
0040D15D 03C7          ADD EAX,EDI
0040D15F 894424 1C    MOV DWORD PTR SS:[ESP+1C],EAX
0040D163 61             POPAD 这个是什么,关键字与入口处对称.中间代码也没有Popad指令,不用怀疑,这里就是解压后的出口.让我们直接F2在这里下断点,F9运行到这里后再F2取消断点.
0040D164 FFE0          JMP EAX  这个就是跨段跳跃,F8到达Oep处.

004010CC 55             PUSH EBP
经过Popad关键字,并跨段跳跃到入口，我们在这里用Od的Dump插件直接脱壳。
004010CD 8BEC          MOV EBP,ESP
004010CF 83EC 44       SUB ESP,44
004010D2 56             PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4]             ; KERNEL32.GetCommandLineA
004010D9 8BF0          MOV ESI,EAX
004010DB 8A00          MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22          CMP AL,22
004010DF 75 1B          JNZ SHORT NOTEPAD.004010FC
004010E1 56             PUSH ESI

重建输入表时，插件有两个选项。Method2重建输入表很快，脱壳后运行率高。Method1重建输入表慢，脱壳后运行率较低。不过本程序用Method2重建输入表无法运行，Method1重建输入表后程序可直接运行。

手动脱壳入门第十一篇PEDiminishe 0.1

redwolf@redwolf.com.cn (redwolf) — Tue, 24 Oct 2006 16:51:58 +0800

脱文标题】手动脱壳入门第十一篇PEDiminishe 0.1

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg

【脱壳平台】 Win2K/XP

【软件名称】 PEDiminishe0.1主程序

【软件简介】 PE Diminisher is a simple PE packer. Just run it, open the file you want to pack, and select Encrypt File! This software was written in learning purpose only. So, don't tell me it sucks, cause I already know ;)Anyway, the GUI is pretty nice :) PE Diminisher uses the aplib compression/decompression library,(C) 1998 Jibz. Also, thanks to Stone, without whom, I would had a rough time coding this. This software has borrowed code fragments from his softwares.

【软件大小】 14 KB

【加壳方式】 PEDiminisher 0.1 -> Teraphy

【保护方式】 PEDiminisher

【脱壳声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：

软件截图:

screen.width-333) {this.width=screen.width-333;this.alt='Click Here to Open New Window';}" border=0 pop="Click Here to Open New Window">

界面很朴素，奇怪的是我在Win2000和Xp系统用它加壳任何程序均无法运行。选择几个加密选项和一个都不选一样，不能运行,难道是For Win98的。
脱壳目标，PEDiminishe0.1主程序。

本地下载 PED.rar

软件后用Fi测ped.exe的壳为PEDiminisher 0.1 -> Teraphy
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时，用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时，只能让程序往前运行，基本不能让它往回跳，要想法跳出循环圈。不要用Peid查入口，单步跟踪，提高手动找入口能力。

用OD载入程序后。
确定一个入口点警告。
停在这里
00417000 >  53             PUSH EBX
00417001 51             PUSH ECX
00417002 52             PUSH EDX
00417003 56             PUSH ESI
00417004 57             PUSH EDI
00417005 55             PUSH EBP
00417006 E8 00000000    CALL ped.0041700B  F7步过。
0041700B 5D             POP EBP
0041700C 8BD5          MOV EDX,EBP
0041700E 81ED A2304000 SUB EBP,ped.004030A2
00417014 2B95 91334000 SUB EDX,DWORD PTR SS:[EBP+403391]
0041701A 81EA 0B000000 SUB EDX,0B
00417020 8995 9A334000 MOV DWORD PTR SS:[EBP+40339A],EDX
00417026 80BD 99334000 0>CMP BYTE PTR SS:[EBP+403399],0
0041702D 74 50          JE SHORT ped.0041707F  好大一个循环，有可能是循环出口。
0041702F E8 02010000    CALL ped.00417136 F7步过。
00417034 8BFD          MOV EDI,EBP
00417036 8D9D 9A334000 LEA EBX,DWORD PTR SS:[EBP+40339A]
0041703C 8B1B          MOV EBX,DWORD PTR DS:[EBX]
0041703E 8D87 9E334000 LEA EAX,DWORD PTR DS:[EDI+40339E]
00417044 8B00          MOV EAX,DWORD PTR DS:[EAX]
00417046 03D8          ADD EBX,EAX
00417048 8D8F A2334000 LEA ECX,DWORD PTR DS:[EDI+4033A2]
0041704E 8B09          MOV ECX,DWORD PTR DS:[ECX]
00417050 66:8B85 8F33400>MOV AX,WORD PTR SS:[EBP+40338F]
00417057 8003 10       ADD BYTE PTR DS:[EBX],10
0041705A 3003          XOR BYTE PTR DS:[EBX],AL
0041705C 3023          XOR BYTE PTR DS:[EBX],AH
0041705E 8003 AA       ADD BYTE PTR DS:[EBX],0AA
00417061 66:C1C0 03    ROL AX,3
00417065 86E0          XCHG AL,AH
00417067 43             INC EBX
00417068  ^ E2 ED          LOOPD SHORT ped.00417057  循环。
0041706A E8 FF000000    CALL ped.0041716E F4到这里,F8步过远程Call。
0041706F 83C7 08       ADD EDI,8
00417072 FE8D 99334000 DEC BYTE PTR SS:[EBP+403399]
00417078  ^ 75 BC          JNZ SHORT ped.00417036 往回跳。
0041707A E8 16000000    CALL ped.00417095  F4到这里,F8步过远程Call。
0041707F 8B85 95334000 MOV EAX,DWORD PTR SS:[EBP+403395]  Eax=00001000
00417085 8B9D 9A334000 MOV EBX,DWORD PTR SS:[EBP+40339A]  Ebx=00400000
0041708B 03C3          ADD EAX,EBX EAX=00001000 + 00400000=00401000
0041708D 5D             POP EBP
0041708E 5F             POP EDI
0041708F 5E             POP ESI
00417090 5A             POP EDX
00417091 59             POP ECX
00417092 5B             POP EBX
00417093 FFE0          JMP EAX 跨段跳跃跳到入口401000处。

00401000    E8          DB E8  经过跨段跳跃到入口，我们在这里用Od的Dump插件直接脱壳。
00401001    85          DB 85
00401002    25          DB 25                                  ;  CHAR '%'
00401003    00          DB 00
00401004    00          DB 00
00401005    6A          DB 6A                                  ;  CHAR 'j'
00401006    00          DB 00
00401007    E8          DB E8
00401008    D6          DB D6
00401009    24          DB 24                                  ;  CHAR '$'

重建输入表时，插件有两个选项。Method2重建输入表很快，脱壳后运行率高。Method1重建输入表慢，脱壳后
运行率较低。本程序用Method1重建输入表后程序可直接运行。