ASProtect 1.23RC4因为stolen code没有变形,可以不用分析得到,1.3开始变形了。blowfish把程序email给me后,对于其stolen code,偶不是去猜测,而是采用到壳中去找的办法,现把分析报告如下: 1、设置OllyDBG异常除“内存访问异常”外全部钩上。记下入口esp值,以备后用。 2、25次异常后按原来的方法在ret处按F2设断,断下后然后根据入口esp在命令行设置tc ebp>=12ffc0 && ebp<12ffc4,停下后,即到变形的stolen code处。 F7一步一步跟,并分析见每行尾部。 0B22424B PUSH -1 //此处3行代码没变,照抄 0B22424D PUSH 54E948 0B224252 PUSH 542B94 0B224257 MOV EAX,DWORD PTR FS:[0] 0B22425D JMP SHORT 0B224261 0B22426E PUSH 34 0B224270 JMP SHORT 0B224275 ; 多余的前缀 0B224275 PUSH DWORD PTR FS:[0] 0B22427C MOV DWORD PTR SS:[ESP 4],EAX //[esp 4]=eax 相当于把前面push 34变为push eax 0B22428C LEA ESP,DWORD PTR SS:[ESP 4] //等于add esp,4 0B224290 MOV DWORD PTR FS:[0],ESP //设置SEH,前面几行可以简化为push fs:[0],mov fs[0],esp 0B224297 SUB ESP,58 //不变,照抄 0B22429A JMP SHORT 0B22429E 0B2242AB PUSH 34 0B2242AD JMP SHORT 0B2242B2 ; 多余的前缀 0B2242B2 PUSH DWORD PTR FS:[0] 0B2242B9 MOV DWORD PTR SS:[ESP 4],EBX //[esp 4]=ebx 相当于前面push 34变为push ebx 0B2242C9 LEA ESP,DWORD PTR SS:[ESP 4] //add esp,4 相当于去掉PUSH DWORD PTR FS:[0],下同 0B2242CD JMP SHORT 0B2242D1 0B2242DE PUSH 34 0B2242E0 JMP SHORT 0B2242E5 ; 多余的前缀 0B2242E5 PUSH DWORD PTR FS:[0] 0B2242EC MOV DWORD PTR SS:[ESP 4],ESI //[esp 4]=eax 相当于把前面push 34变为push esi 0B2242FC LEA ESP,DWORD PTR SS:[ESP 4] 0B224300 JMP SHORT 0B224304 0B224311 PUSH 34 0B224313 JMP SHORT 0B224318 ; 多余的前缀 0B224318 PUSH DWORD PTR FS:[0] 0B22431F MOV DWORD PTR SS:[ESP 4],EDI //[esp 4]=eax 相当于把前面push 34变为push edi 0B22432F LEA ESP,DWORD PTR SS:[ESP 4] 0B224333 MOV DWORD PTR SS:[EBP-18],ESP 0B224336 JMP SHORT 0B22433A ; 多余的前缀 0B22433E PUSH 53F07B //不变,照抄 0B224343 PUSH 0B224131 0B224348 RETN 0B224131 JMP SHORT 0B224134 以下打扫战场: 0B224134 PUSH ECX 0B224135 PUSH EDI 0B224136 PUSHFD 0B224137 CLD 0B224138 MOV EDI,0B224175 0B22413D MOV ECX,145E 0B224142 REP STOS BYTE PTR ES:[EDI] 0B224144 POPFD 0B224145 POP EDI 0B224146 POP ECX 0B224147 RETN 回到fake OEP: 0053F07B CALL DWORD PTR DS:[54D1DC] 0053F081 XOR EDX,EDX 0053F083 MOV DL,AH 0053F085 MOV DWORD PTR DS:[88BAF10],EDX 0053F08B MOV ECX,EAX 0053F08D AND ECX,0FF 0053F093 MOV DWORD PTR DS:[88BAF0C],ECX 0053F099 SHL ECX,8 0053F09C ADD ECX,EDX 0053F09E MOV DWORD PTR DS:[88BAF08],ECX 0053F0A4 SHR EAX,10 3.通过以上跟踪分析,得出正确的stolen code如下:(而且长度正好一致) 0053F055 >PUSH EBP 0053F056 MOV EBP,ESP 0053F058 PUSH -1 0053F05A PUSH ASPR2.0054E948 0053F05F PUSH ASPR2.00542B94 0053F064 PUSH DWORD PTR FS:[0] 0053F06A MOV DWORD PTR FS:[0],ESP 0053F070 SUB ESP,58 0053F073 PUSH EBX 0053F074 PUSH ESI 0053F075 PUSH EDI 0053F076 PUSH ASPR2.0053F07B 0053F07B CALL DWORD PTR DS:[54D1DC] |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:32 , Processed in 0.193893 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.