脱壳技术,用OD脱DEDE的Armadillo 1.xx - 2.xx壳,Armadillo 2008年06月23日 星期一 下午 04:17 用OD脱DEDE的Armadillo 1.xx - 2.xx壳 程序名称:DeDe2.50 下载地址:可能已经很少有了,都升级到3.5了 破解工具:OD,PEID,ImportRec 破解平台:WinXP 前言: 前段时间破一个Delphi程序,用到DeDe,但提示输入密码,我哪有?SHIT!只好拿它来开刀。开工!正好有关Armadillo的文章较少,来一篇凑个热闹,不当之处请指正。 第一步、跳过调试器检查: 先IsDebuggerPresent插件隐藏OD,然后载入DEDE,忽略所有异常。 F9运行,程序提示有Debugger运行,点击OK后退出。看看在什么地方可以跳过NAG,故点击前BP DestroyWindow,然后点击OK,程序中断,CTRL F9返回到程序 003E3247 CALL DWORD PTR DS:[3E64A8] ; USER32.DestroyWindow 003E324D MOV EAX,ESI --->在这 继续按Ctrl F9返回直到如下代码: 003E088A JE SHORT 003E08CD --->可以跳过NAG! ........................... 003E08B5 ADD ESP,28 003E08B8 PUSH EAX 003E08B9 CALL 003E328D --->CALL NAG 003E08BE MOV EAX,DWORD PTR DS:[3F328C] --->返回到这,向上看! 003E08C3 ADD ESP,0C 003E08C6 XOR DWORD PTR DS:[EAX 74],3366 003E08CD JMP SHORT 003E08D2 注意在003E088A处可以跳过。重来一遍,下G 3E088A,提示无效地址。原来这地址是程序运行动态后生成的。只好让程序先运行一会在中断下来下断点。因为Armadillo壳有页保护,故BP VirtualProtect,F9运行,中断后下G 3E088A,程序再次中断,改变标志位令其强行跳转,然后Ctrl F9返回,并将EAX值改为0,程序将往下运行,出现过期提示,要求输入注册码。 第二步、挫败注册要求: 要注册码?都有这玩意还要Cracker干吗?好,继续BP DestroyWindow,什么也不用输入,点Cancel,中断后三次CTRL F9返回到如下代码: 003DCB24 CALL 003D80DF --->CALL NAG 003DCB29 MOVZX EAX,AL --->返回到此,明显是否注册的标志,改为1 003DCB2C TEST EAX,EAX 003DCB2E JNZ SHORT 003DCB38 至此程序能正常运行了,但工作还远远没有结束,你总不希望每次都用OD载入来运行程序吧? 第三步、避开修改文件头: 有文章说Armadillo会修改文件头,但没有具体说明怎么修改,怎么避开。看了书中Armadillo脱壳的文章,仍一知半解,没办法,只好恶补PE文件格式,总算明白了Armadillo修改文件头的原理。为了这个及修复IAT,花了差不多三天时间。原来PE文件有个PE标志,这里就是PE文件头,包含PE文件重要信息。而在程序起始代码 3C的地方(即40003C)总是指向PE标志的地址,用Winhex打开一个程序就会发现规律。Armadillo将会修改40003C处的数据,使其指向错误地址,并将原地址 6处的Section数目改变,脱壳后的程序自然就会运行不了,甚至使一些脱壳程序无法DUMP。 下断点BP VirtualProtect,我们希望在在Armadillo去掉页保护准备修改文件头时中断下来。F9运行,注意观察堆栈数据,这样就不用数中断次数了。几十次中断后到堆栈数据如下时: 0012BFE8 003E1063 /CALL 到 VirtualProtect 来自 003E1061 0012BFEC 00400000 |Address = Dede.00400000 --->页保护地址 0012BFF0 00000040 |Size = 40 (64.) --->长度 0012BFF4 00000004 |NewProtect = PAGE_READWRITE --->解除保护,可读写 0012BFF8 0012C014 \pOldProtect = 0012C014 这里解除保护,不过还不是修改文件头的地方,估计这里只是还原代码。继续F9运行,中间还会中断,不过是恢复保护。直到再次堆栈数据为: 0012BFE8 003E10B9 /CALL 到 VirtualProtect 来自 003E10B7 0012BFEC 00400000 |Address = Dede.00400000 0012BFF0 00000040 |Size = 40 (64.) 0012BFF4 00000004 |NewProtect = PAGE_READWRITE 0012BFF8 0012C014 \pOldProtect = 0012C014 CTRL F9返回到: 003E10B7 CALL ESI --->Call VirtualProtect 003E10B9 PUSH EAX --->返回到此 003E10BA NOT EAX F8单步跟踪,直到: 003E1100 SUB EBX,EDI 003E1102 ADD DWORD PTR DS:[EAX 3C],EBX --->EAX=400000,修改文件头40003C 原值为00000040,即PE标志地址为400040,加EBX后就错误了。将EBX修改为0,继续F8单步跟踪,注意VirtualProtect保护的地址(应到400040了),到: 003E1185 ADD WORD PTR DS:[EDI 6],AX --->EDI=400040,修改文件头的Section数目 将AX修改为0,至此击败了对文件头的修改。 第四步、寻找OEP并DUMP程序: CTRL F9几次返回到如下代码: 008116BA MOV DWORD PTR SS:[EBP-1C],EAX 008116BD PUSHAD 008116BE XOR EAX,EAX 008116C0 JNZ SHORT Dede.008116C4 008116C2 JMP SHORT Dede.008116D9 008116C4 JMP SHORT Dede.008116F9 以下在OD中显示乱码,应该容易找到的。OEP就快到了,一定要F8慢慢跟踪。到出现第一个Call [******]时跟入(否则程序)运行,应该是在: 008117C0 CALL DWORD PTR DS:[8520D4] --->F7跟入 继续F8单步跟踪到第一个CALL EDI处,在 003E2191 CALL EDI --->EDI=00809001 这里EDI本来是Armadillo加壳程序的OEP地址,但这个明显不是,F7跟入进去看看。 00809001 PUSHAD 00809002 JMP Dede.00809444 继续F8单步跟踪,注意花指令,并在一些循环处直接在下一代码F4跳出循环。如: 0080945D CALL Dede.00809476 --->花指令 F7进入,否则程序运行。 0080955F CMP EBX,DFAEE568 00809565 JNZ Dede.008094AE --->循环 0080956B MOV BX,AX --->在此处F4跳出, 程序最后又跳回到 0080900E MOV EBX,Dede.00443930 00809013 ADD EBX,EBP 00809015 SUB EBX,DWORD PTR SS:[EBP 443FD0] 到这里感觉象是进了另一个壳,似乎是ASPACK,继续F8跟踪。要想快,可以向下翻页,直到看到: 008093AA POPAD 008093AB JNZ SHORT Dede.008093B5 008093AD MOV EAX,1 008093B2 RETN 0C 008093B5 PUSH 0 --->这段是典型的ASPACK壳特征。 008093BA RETN 在8093B5处F4,代码变化为: 008093B5 PUSH Dede.0051FE18 --->Thank God, OEP!!! 008093BA RETN F8两次到51FE18,到达OEP。用OEDUMP插件DUMP程序。 第五步、获得正确的输入表: 因为壳会加密IAT,DUMP出的程序无法运行,还要修复IAT。运行ImportRec,在程序列表中选择DEDE.EDE,OEP填11FE18(51FE18-400000=11FE18),点IAT AutoSearch,Get Import获得输入表,有很多无效指针。查看其中任何一个,如: RVA: 0012F1B0 ptr 003CA9E7 表示在RVA为0012F1B处为无效指针,指向003CA9E7,明显是错误的。 重新运行程序,这次我们先在OD的DUMP窗口中显示52F1B0(52F1B0-400000=12FB10)处的内容,按以上步骤运行程序,看什么时候会被变成3CA9E7。发现是在第三步之后壳还原输入表并加密输入表。 再次运行程序,并在第三步后停下,在DUMP窗口中52F1B0处(或往前一点)右键下内存写入断点,F9运行直到中断两次。第一次中断是还原数据,第二次才是加密。 此时程序在一个循环中,还会有其它API函数还原、加密。所以继续单步跟踪,看看程序什么时候会获得API函数地址。注意API函数的地址一般是77******,观察EAX的值。到: 008092F6 CALL DWORD PTR SS:[EBP 444AFC] 008092FC TEST EAX,EAX --->EAX=77E577EF,kernel32.InterlockedIncrement 上面的那个CALL就是获得API地址的,某些重要的API会在里面被跳过,因而无法获得正确地址。再次来到8092F6时F7跟入,F8跟踪,注意在一些循环处下一代码F4跳出循环。到: 003C7146 PUSH EBX ; Dede.0071DC62 003C7147 XCHG EAX,EDI 003C7148 XCHG BX,BX 003C714B XCHG EAX,EDI 003C714C XOR EBX,EBX 003C714E TEST WORD PTR SS:[EBP E],0FFFF 003C7154 JNZ SHORT 003C7159 003C7156 MOV EBX,DWORD PTR SS:[EBP C] 003C7159 PUSH EDI 003C715A CALL DWORD PTR DS:[3E60C4] ; kernel32.GetModuleHandleA 003C7160 CMP DWORD PTR SS:[EBP 8],EAX 003C7163 JNZ SHORT 003C716C 003C7165 MOV ECX,3EA220 003C716A JMP SHORT 003C71BE 003C716C CMP DWORD PTR DS:[3EA830],EDI 003C7172 MOV ECX,3EA830 003C7177 JE 003C720F --->书上说这就是Magic Jump 重要函数会在此处不能跳过,就无法获得正确地址(书上也介绍找MAGIC JUMP有另一种方法,即可直接在GetModuleHandleA处设断,并辅以CTRL F9观察返回代码,当返回以上代码并且将要还原IAT时就是Magic Jump了)。将其改为JMP 003C720F,然后G 51FE18,直接来到OEP处,再用ImportRec获得IAT,所有指针有效,FIX刚才DUMP出的程序,正常运行。 总结: 首先BP VTualProtect让程序中断,或直接F9运行,在出现NAG之前F12暂停,再G 3E088A。修改跳转方向并在RET处修改EAX值为0。 然后在出现注册窗口后下BP DestroyWindow断点,点Cancel中断后,CTRL F9三次并将EAX返回值改为1。 G 3e1102,中断后将EBX值改为0;G 3E1185,中断后将AX值改为0。防止修改文件头。 G 3C7177,中断后将JE改为JMP,跳过IAT加密。 最后G 51FE18,在为OEP处DUMP程序并用ImportRec修复IAT。 最后一点说明:我这里如果先载入DEDE再隐藏OD,程序会退出,用FLYOBG可以不被检测到,但下BP DestroyWindow时程序不会中断,而查看断点明明已经有了。希望FLY兄能看看是怎么回事。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 23:23 , Processed in 0.162877 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.