首页 › 电脑病毒论坛 › 黑客技术之slv unpackme 脱壳

迷雾中的麋鹿 發表於 2008-10-8 19:05:43

黑客技术之slv unpackme 脱壳

其实壳本身不要紧，问题是vm里面有个校验。

sm同学手下留情，我勉强能搞一个运行正常的，没精力还原vm了。

在virutalfree的retn上f4, 直到是一个exe image内的地址f7返回:

0040FA91    B8 BE180000   mov   eax, 18BE<br />

0040FA96    BA 00004000   mov   edx, slv_unpa.00400000<br />

0040FA9B    03C2            add   eax, edx<br />

0040FA9D- FFE0            jmp   eax

在jmp eax上f4 f7到oep:

004018BE    68 EA1AF500   push    0F51AEA<br />

004018C3- E9 EF01B500   jmp   00F51AB7<br />

004018C8    CC            int3<br />

004018C9    CC            int3

jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的:

bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下:

0040FBB6    6A 40         push    40<br />

0040FBB8    68 00100000   push    1000<br />

0040FBBD    50            push    eax<br />

0040FBBE    6A 00         push    0<br />

0040FBC0    FF13            call                                ; kernel32.VirtualAlloc<br />

0040FBC2    8BD0            mov   edx, eax<br />

0040FBC4    8BFA            mov   edi, edx<br />

0040FBC6    8B4E FC         mov   ecx, <br />

0040FBC9    F3:A4         rep   movsb

往下走ecx=000151E9, 复制一个unpackme.exe到2.exe, 增加一个section header:

vaddr=0x0022000<br />

vsize=0x20000

加载2.exe在0040FBC2上f4把eax改成422000.

然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe <br />

接着用imprec fixdump 生成 3.exe

一运行非法了, 点调试挂上od:

00422CCA    8910            mov   , edx//eax=00140688<br />

00422CCC    E9 0D0E0000   jmp   00423ADE

向上看全是屁股...啊不对, 全是花指令, 不过只有 EB, nop掉:

00422CA4    33C0            xor   eax, eax<br />

00422CAC    AC            lodsb<br />

00422CB1    8B1487          mov   edx, <br />

00422CB7    33C0            xor   eax, eax<br />

00422CBD    AC            lodsb<br />

00422CC1    8B0487          mov   eax, <br />

00422CCA    8910            mov   , edx<br />

00422CCC    E9 0D0E0000   jmp   00423ADE

看样子只是一个虚拟机指令, 好像丢掉东西了.

校验是哪里来的?<br />

想法一：GetFileSize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.<br />

想法二：在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?<br />

联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header

加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问==1000<br />

加载3.exe也中断了,==18BE<br />

原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口.

解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动.

401000 ctrl r找到两处参考,都改401005

004011DA    E8 21FEFFFF   call    3.00401000<br />

004011EC    E8 0FFEFFFF   call    3.00401000

修改这里的代码:

00401000 &gt; /E9 B9080000   jmp   4.004018BE<br />

00401005   |68 EA9C4200   push    4.00429CEA<br />

0040100A-|E9 A82A0200   jmp   4.00423AB7

保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了.

不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,<br />

结果跳到18be又DialogParam了

那么只好选择写保护了,用lordpe添加一个输入函数VirutalProtect

在oep下面找片空地写代码, 最后跳回18be<br />

004018C8 &gt;B8 00004000   mov   eax, 00400000<br />

004018CD    0340 3C         add   eax, <br />

004018D0    8D78 28         lea   edi, <br />

004018D3    50            push    eax<br />

004018D4    54            push    esp<br />

004018D5    6A 04         push    4<br />

004018D7    6A 04         push    4<br />

004018D9    57            push    edi<br />

004018DA    FF15 1E304400   call                             ; kernel32.VirtualProtect<br />

004018E0    58            pop   eax<br />

004018E1    B8 00100000   mov   eax, 1000<br />

004018E6    AB            stosd<br />

004018E7^ EB D5         jmp   004018BE

把入口改成18c8,搞定收工.<br />



<br />

查看完整版本: 黑客技术之slv unpackme 脱壳