“破解大牛是怎么炼成的”之壳与ESP定律

2016-12-24 10:25:36来源:oschina作者:i春秋学院人点击


文章难易度:★★★
文章阅读点/知识点:逆向破解
文章作者:Sp4ce
文章来源:
i春秋
关键字:网络
信息安全技术

本文参与i春秋社区原创文章奖励计划,未经许可禁止转载! 一、前言 通过前面几篇的学习,我们学会了利用暴力破解达到绕过注册机制和追踪注册码来达到“合法”用软件的方法,但是我们往往会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别,但有些壳会采用伪装技术来混淆侦壳程序。 本次文章是UPX压缩壳的脱壳工作。 二、目录


1、前期工作


2、OD操作


3、小结


三、正文


我们先看下加壳软件和未加壳对比



左边是没有加壳的,右边是加壳的,明显的发现体积缩小了一半


我们再用PEID对比下加壳前和加壳后的EP段和一些有用的信息



我们载入OD后会发现这个提示,为了方便接下来的操作,我们在这里选否



载入后的OD



我们F8单步走走,注意右面寄存器FPU的显示,当有且只有ESP和EIP为红色时,我们可以用ESP定律了


下图就是这样的例子,我们这时候可以右键ESP后面那个地址,然后选择在数据窗口中跟随



也可以直接在下面的Command窗口中输入dd 0012FFA4 后回车



这两种方法最终的效果都会在数据窗口中跟随到0012FFA4这个地址,然后我们可以右键那一段地址任意HEX设置断点→硬件访问→word型



这个操作也可以在command窗口输入 HR 0012FFA4 回车后完成,然后我们按F9运行程序,此时程序会暂停在我们设置的断点位置



然后我们F8单步走,到了jnz位置后不要再按F8了(这是向上跳转的),我们用鼠标点击她的下一行然后按F4,让程序强制转到跳转下面继续运行,到达jmp后我们必须跳过去,因为接下来就有可能是程序的OEP领空



OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP)


这里就是易语言/VC程序的OEP



然后我们就可以脱壳了,脱壳前我们先把断点清理掉,以免出错【调试→硬件断点→删除】



然后右击程序当前位置第一行代码,选择OllyDump脱壳调试进程



然后我们在弹出的窗口中选择脱壳,然后输入要另存为的文件名



此时,我们已经脱壳结束,检查下程序能否正常运行


我们再看下PEID对比脱壳前和脱壳后的不同



EP段提示UPX0是因为我没有优化区段


我们可以点>>来详细看下对比


脱壳后



未脱壳



到此,脱壳完成。


3、小结


程序在下面,部分语言OEP



delphi:55PUSH EBP
8BECMOV EBP,ESP
83C4 F0 ADD ESP,-10
B8 A86F4B00 MOV EAX,PE.004B6FA8vc++
55PUSH EBP
8BECMOV EBP,ESP
83EC 44 SUB ESP,44
56PUSH ESIvc6.0
55 push ebp
8BEC mov ebp,esp
6A FFpush -1vc7.06A 70push 70
68 50110001push hh.01001150
E8 1D020000call hh.010017B0
33DB xor ebx,ebxvb:00401166- FF25 6C104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>]; MSVBVM60.ThunRTMain
0040116C >68 147C4000 PUSH PACKME.00407C14
00401171E8 F0FFFFFF CALL
004011760000ADD BYTE PTR DS:[EAX],AL
004011780000ADD BYTE PTR DS:[EAX],AL
0040117A0000ADD BYTE PTR DS:[EAX],AL
0040117C3000XOR BYTE PTR DS:[EAX],ALbc++
0040163C > $ /EB 10 JMP SHORT BCLOCK.0040164E
0040163E |66DB 66 ;CHAR 'f'
0040163F |62DB 62 ;CHAR 'b'
00401640 |3ADB 3A ;CHAR ':'
00401641 |43DB 43 ;CHAR 'C'
00401642 |2BDB 2B ;CHAR '+'
00401643 |2BDB 2B ;CHAR '+'
00401644 |48DB 48 ;CHAR 'H'00401645 |4FDB 4F ;CHAR 'O'
00401646 |4FDB 4F ;CHAR 'O'
00401647 |4BDB 4B ;CHAR 'K'
00401648 |90NOP
00401649 |E9DB E9
0040164A . |98E04E00DD OFFSET BCLOCK.___CPPdebugHook
0040164E > /A1 8BE04E00 MOV EAX,DWORD PTR DS:[4EE08B]
00401653 .C1E0 02 SHL EAX,2
00401656 .A3 8FE04E00 MOV DWORD PTR DS:[4EE08F],EAX
0040165B .52PUSH EDX
0040165C .6A 00 PUSH 0; /pModule = NULL
0040165E .E8 DFBC0E00 CALL ; /GetModuleHandleA
00401663 .8BD0MOV EDX,EAXdasm:00401000 >/$6A 00 PUSH 0; /pModule = NULL
00401002|.E8 C50A0000 CALL ; /GetModuleHandleA
00401007|.A3 0C354000 MOV DWORD PTR DS:[40350C],EAX
0040100C|.E8 B50A0000 CALL ; [GetCommandLineA
00401011|.A3 10354000 MOV DWORD PTR DS:[403510],EAX
00401016|.6A 0A PUSH 0A ; /Arg4 = 0000000A
00401018|.FF35 10354000 PUSH DWORD PTR DS:[403510] ; |Arg3 = 00000000
0040101E|.6A 00 PUSH 0; |Arg2 = 00000000
00401020|.FF35 0C354000 PUSH DWORD PTR DS:[40350C] ; |Arg1 = 00000000

本节出现的名词解释



EP段:EntryPoint,入口点
OD命令:
HR 访问时进行硬件中断
DD 转存在堆栈格式
EIP:寄存器的一种,EIP寄存器里存储的是CPU下次要执行的指令的地址
ESP:寄存器的一种,寄存器里存储的是是栈的栈底指针,通常叫栈基址

四、总结


有看客私下问我能不能直接学破解网络验证,那么我的回答是不能,没有基础的人,直接上难度高的,会丧失自信心,网络验证往往会伴随各种暗桩,轻则关机重启蓝屏,重则格盘毁MBR放毒,这些我在后面都会有提到


更多安全技术、精品好文、白帽黑客大佬尽在:http://bbs.ichunqiu.com/portal.php

最新文章

123

最新摄影

微信扫一扫

第七城市微信公众平台