码迷,mamicode.com
首页 > 其他好文 > 详细

记手动脱壳

时间:2020-06-07 21:13:48      阅读:59      评论:0      收藏:0      [点我收藏+]

标签:保护   初始   010editor   alt   ant   ext   脱壳   ctrl+v   com   

其实之前也手脱过一些壳,但一直没仔细研究过。。。

#以下方法参考《加密与解密第四版》,程序可在随书文件里找到

EXE

一,寻找OEP

1,根据跨段指令寻找

入口处

技术图片

 技术图片

 技术图片

 技术图片

在401130处要用ctrl+A重新分析代码

其实这种方法只要f8不跑飞,一直f8就行

2,内存访问断点寻找

通过在.text段下内存访问断点后f9,运行到OEP时会断下来

但因为程序会先对.text段进行解密,所以感觉并不好用

3,根据栈平衡原理

因为要保护现场环境,通常会使用pushad/popad,pushfd/popad

pushad前的esp

技术图片

 pushad后

技术图片

(1) 在19ff54处下个硬件访问断点,f9

技术图片

 (2)在19ff70处下硬件写入断点,f9

技术图片

 两种方法区别不大

二,Dump与Anti-Dump

1,纠正SizeOfImage

程序MODULERNTRY32中modBaseSize被修改 

技术图片

可以看到镜像大小只有1000

技术图片

 技术图片

 注:如果用OllyDump直接默认dump即可

 2,修改内存属性

通过将部分地址设为不可读,

技术图片

 技术图片

 可以看到被设置成了无法访问

技术图片

 之后dump

三,重建输入表

1,寻找IAT

找到这样的指令

技术图片

 技术图片

这段就是IAT

2,重建输入表

(1)使用import REC

运行要脱壳的程序,attach process

填入OEP的RVA,使用IAT AutoSearch

技术图片

 点Get import

技术图片

 使用Fix Dump修复dump出的文件

技术图片

 可以看到多了一个.mackt段,输入表被放到了这里

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

DLL

一,寻找OEP

和exe的方法几乎一致,但有可能不会在外壳的入口处停下来,可以先将入口处的数据改为 EB FE,运行后不断在入口处循环,f12停下后改为原数据后调试

技术图片

 

 dll被映射到了30000处,找到的OEP为31240,OEP的RVA为1240

寻找IAT:和exe一致

技术图片

 二,Dump

要修改Image Base的值为当前的值

技术图片

 

 三,修复输入表

管理员打开Import REC,attach到loaddll,pick dll

技术图片

 选择edrlib,填入OEP,IAT的RVA和size,fix dump

四,构建重定位表

找到重定位初始化的地方

技术图片

 (图不是一次截得,和下面地址不一样)

技术图片

 RVA为c000

 分配一段地址

技术图片

 打个补丁

技术图片

 技术图片

 跑出来(注:第一次的edx值要手动设置分配出来的地址)

技术图片

 二进制复制出来放进010editor(shift+ctrl+v复制hex,直接在菜单里好像找不到)存为Relo.bin

运行ReloRCE,把文件拖进去

技术图片

 fix Dump

技术图片

 

记手动脱壳

标签:保护   初始   010editor   alt   ant   ext   脱壳   ctrl+v   com   

原文地址:https://www.cnblogs.com/harmonica11/p/13040929.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!