77范文网 - 专业文章范例文档资料分享平台

分类导航

您的当前位置:主页 > 文库 > 综合文库 >

ZProtect加壳程序脱壳笔记

来源:网络收集 时间:2019-06-11 下载这篇文档 手机版
说明:文章内容仅供预览,部分内容可能不全,需要完整文档或者需要复制内容,请下载word后使用。下载word有问题请添加微信号:或QQ: 处理(尽可能给您提供完整文档),感谢您的支持与谅解。点击这里给我发消息

ZProtect加壳程序脱壳笔记

之前写了一个ZP的IAT加密方式分析,这里继续接着前面的文章,写一个ZProtect 加壳的程序的完整脱

壳笔记。

目标程序是一个用ZP二次加密的程序,可能是某位大侠的作品,小弟这里只是随手拿来做个演示,有什

么冒犯之处,敬请见谅。 目标程序在附件中。

运行一下程序,程序提示只能运行三次,每次只能运行十分钟,看来这个是要先干掉这个对话框再说了~ 写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大的代码。

把这个lpk放在软件目录下就没有注册框了。现在可以OD载入了~

1,到OEP去

上次我的分析里面说了,如何最快到达OEP的方式 就是用ESP定律。

过了pushad以后,下Hr ESP 然后就到了。

查找FF25 发现壳没有处理IAT调用的代码,只是对IAT进行了加密,看来这个应该是1.4.0-1.4.4之间的

某个版本。 2,修复IAT

通过查找FF25 很容易确定IAT的位置。

1. 2. 3.

005A3190 00641378 店铺宝贝.00641378 005A3194 00641798 店铺宝贝.00641798 005A3198 00641B10 店铺宝贝.00641B10

4. 5.

005A319C 00E30000 005A31A0 00E3000E

6. 7.

005A31A4 00641048 店铺宝贝.00641048 005A31A8 006411E0 店铺宝贝.006411E0

复制代码

下面是一部分IAT,可以看出IAT的处理方式有两种。修复的时候也要分两种情况进行修复。

根据我上篇的分析文章的结论,两种加密方式最后是殊途同归的:

push 提取码 调用获取函数序号的call

按照隐藏的IAT基址+序号的方式来寻址。 下面看看两种不同方式的提取码和call的调用方式。

方式一00406A54 - FF25 64325A00 jmp dword ptr ds:[5A3264] ds:[005A3264]=00E30142

1. 2.

00E30142 50 push eax 00E30143 60 pushad

3. 4.

5.

00E30144 68 7695B4AD push ADB49576 00E30149 E8 310DE7FF call 00CA0E7F

00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874] 6.

00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0 7.

00CA0E88 74 57 je short 00CA0EE1

8. 00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ; kernel32.GetTickCount

9.

00CA0E90 8BC8 mov ecx,eax

10. 00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]

11. 00CA0E98 81F9 88130000 cmp ecx,1388 12. 00CA0E9E 76 41 jbe short 00CA0EE1 13. 00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644] 14. 00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax

15. 00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ; kernel32.ResumeThread

16. 00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3

17. 00CA0EB8 7C 08 jl short 00CA0EC2

18. 00CA0EBA 6A 00 push 0

19. 00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ; kernel32.ExitProcess

20. 00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0

21. 00CA0EC9 74 08 je short 00CA0ED3 22. 00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]

23. 00CA0ED1 EB 07 jmp short 00CA0EDA 24. 00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0 25. 00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1

26. 00CA0EE1 56 push esi 27. 00CA0EE2 57 push edi

28. 00CA0EE3 FF7424 0C push dword ptr ss:[esp+C] 29. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]

30. 00CA0EED 8BF8 mov edi,eax 31. 00CA0EEF BE 644ECA00 mov esi,0CA4E64 32. 00CA0EF4 E8 6941FFFF call 00C95062 33. 00CA0EF9 8B00 mov eax,dword ptr ds:[eax]

34. 00CA0EFB 5F pop edi

35. 00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax

36. 00CA0F00 5E pop esi 37. 00CA0F01 C2 0400 retn 4 38. 00E3014E 61 popad

39. 00E3014F C3 retn

复制代码

方式二 00406A64 /FF25 5C325A00 jmp dword ptr ds:[5A325C] ds:[005A325C]=00641A44 (店铺宝

贝.00641A44)

1. 00641A44 68 6B95B4AD push ADB4956B-----------------------这个就是提取码了~

2.

00641A49 /E9 5E070000 jmp 店铺宝贝.006421AC 3.

006421AC - E9 17F26500 jmp 00CA13C8

4.

5. 6.

7.

00CA13C8 60 pushad

00CA13C9 FF7424 20 push dword ptr ss:[esp+20] 00CA13CD E8 ADFAFFFF call 00CA0E7F

00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874] 8.

00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0 9.

00CA0E88 74 57 je short 00CA0EE1

10. 00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ; kernel32.GetTickCount

11. 00CA0E90 8BC8 mov ecx,eax

12. 00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]

13. 00CA0E98 81F9 88130000 cmp ecx,1388 14. 00CA0E9E 76 41 jbe short 00CA0EE1

15. 00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644] 16. 00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax

17. 00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ; kernel32.ResumeThread

18. 00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3

19. 00CA0EB8 7C 08 jl short 00CA0EC2

20. 00CA0EBA 6A 00 push 0

21. 00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ; kernel32.ExitProcess

22. 00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0

23. 00CA0EC9 74 08 je short 00CA0ED3

24. 00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]

25. 00CA0ED1 EB 07 jmp short 00CA0EDA

26. 00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0 27. 00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1

28. 00CA0EE1 56 push esi 29. 00CA0EE2 57 push edi

30. 00CA0EE3 FF7424 0C push dword ptr ss:[esp+C]----------这里就是push提取码

31. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]---------这个call就是获取函数的序号的

32. 00CA0EED 8BF8 mov edi,eax

33. 00CA0EEF BE 644ECA00 mov esi,0CA4E64

34. 00CA0EF4 E8 6941FFFF call 00C95062----------------------这个call就是通过序号和基址获取API地

址的

35. 00CA0EF9 8B00 mov eax,dword ptr ds:[eax]---------这里[eax]就是真实的API地址

36. 00CA0EFB 5F pop edi

37. 00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax

38. 00CA0F00 5E pop esi 39. 00CA0F01 C2 0400 retn 4 40. 00CA13D2 61 popad 41. 00CA13D3 C3 retn

复制代码

从上面可以看出来,两种方式最后调用的是同一子程序。这样两种方式除了获取提取码的过程稍微不同以

外,其他都是一样的。

了解清楚了,下面就可以自己写代码来修复IAT了。下面是我自己写的一段patch代码,给大家参考一下。

1. 0059BAFE B8 14134000 mov eax,店铺宝贝.00401314-----通过查找FF25,确定的

第一个IAT调用所在的位置。

2.

0059BB03 8038 FF cmp byte ptr ds:[eax],0FF-----按字节寻找FF 25 3. 4. 5.

0059BB06 75 3E jnz short 店铺宝贝.0059BB46 0059BB08 8078 01 25 cmp byte ptr ds:[eax+1],25 0059BB0C 75 38 jnz short 店铺宝贝.0059BB46

6. 0059BB0E 66:8378 04 5A cmp word ptr ds:[eax+4],5A----这里是为了防止查找错

误而设置的,其中5A是IAT所在的位置

7.

0059BB13 75 31 jnz short 店铺宝贝.0059BB46

8. 9.

0059BB15 8B58 02 mov ebx,dword ptr ds:[eax+2]---传递该处调用的IAT指针 0059BB18 833B 00 cmp dword ptr ds:[ebx],0-------比较IAT中的地址是否为0

10. 0059BB1B 74 29 je short 店铺宝贝.0059BB46 11. 0059BB1D 8B0B mov ecx,dword ptr ds:[ebx]

12. 0059BB1F 66:8139 5060 cmp word ptr ds:[ecx],6050-----判断是不是加密方式1.

13. 0059BB24 74 2E je short 店铺宝贝.0059BB54

14. 0059BB26 8039 68 cmp byte ptr ds:[ecx],68-------处理加密方式2,如果是的

话,为保险起见,判断下一个指令是不是push

15. 0059BB29 75 1B jnz short 店铺宝贝.0059BB46

16. ==========================================================================

====

17. 0059BB2B 50 push eax

18. 0059BB2C FF71 01 push dword ptr ds:[ecx+1] 19. 0059BB2F FF15 5C46CA00 call dword ptr ds:[CA465C]

20. 0059BB35 8BF8 mov edi,eax

21. 0059BB37 BE 644ECA00 mov esi,0CA4E64 这部分就是调用壳的IAT

解码函数获取真正的API地址,应用到其他程序时,请自行修改 22. 0059BB3C E8 21956F00 call 00C95062 23. 0059BB41 8B10 mov edx,dword ptr ds:[eax] 24. 0059BB43 8913 mov dword ptr ds:[ebx],edx------修复IAT

25. 0059BB45 58 pop eax

26. ==========================================================================

====

27. 0059BB46 83C0 01 add eax,1----------------------继续查找

28. 0059BB49 3D 00005900 cmp eax,店铺宝贝.00590000-------这个值是IAT调用查

找的上限,请自行修改

29. 0059BB4E ^ 72 B3 jb short 店铺宝贝.0059BB03

30. 0059BB50 EB 10 jmp short 店铺宝贝.0059BB62 -------执行到这里就表示完

成了

31. 0059BB52 90 nop 32. 0059BB53 90 nop

33. 0059BB54 8079 02 68 cmp byte ptr ds:[ecx+2],68----这里就是处理方式1的部分

34. 0059BB58 ^ 75 EC jnz short 店铺宝贝.0059BB46

35. 0059BB5A 50 push eax

36. 0059BB5B FF71 03 push dword ptr ds:[ecx+3] 37. 0059BB5E ^ EB CF jmp short 店铺宝贝.0059BB2F

38. 0059BB60 0000 add byte ptr ds:[eax],al

39. 0059BB62 6A 00 push 0

40. 0059BB64 68 75BB5900 push 店铺宝贝.0059BB75 ; ASCII

\

41. 0059BB69 68 75BB5900 push 店铺宝贝.0059BB75 ; ASCII

\

42. 0059BB6E 6A 00 push 0

43. 0059BB70 E8 754C7B77 call user32.MessageBoxA----调用MessageBoxa 显示一

个完成对话框。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库ZProtect加壳程序脱壳笔记在线全文阅读。

ZProtect加壳程序脱壳笔记.doc 将本文的Word文档下载到电脑,方便复制、编辑、收藏和打印 下载失败或者文档不完整,请联系客服人员解决!
下载这篇word文档
本文链接:https://www.77cn.com.cn/wenku/zonghe/655998.html(转载请注明文章来源)
上一篇:10检高~7 色度和浊度
下一篇:2018八大员继续教育

相关推荐:

综合文库导航
热门标签
答题规律 高考历史 疫情防控 知识小测验 驻村帮扶 白晓卉 三八红旗手 动态清零 精准防控 幼儿园 交通安全日 端午节 文明祭祀 清明节 倡议书 小我融入 献给祖国 青春 天宫课堂 观后笔记 观后感 村级党风 廉政 强国有我 心得范文 青春献礼 主题活动 全国防灾减灾日 心得体会 岗位职责
热门范文
最新范文
随机推荐
Copyright © 2008-2022 免费范文网 版权所有
声明 :本网站尊重并保护知识产权,根据《信息网络传播权保护条例》,如果我们转载的作品侵犯了您的权利,请在一个月内通知我们,我们会及时删除。
客服QQ: 邮箱:tiandhx2@hotmail.com
苏ICP备16052595号-18
× 注册会员免费下载(下载后可以自由复制和排版)
注册会员下载
全站内容免费自由复制
马上注册会员
注册会员下载
全站内容免费自由复制
马上注册会员
注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
微信: QQ: