·汉化新世纪 ·汉化新世纪论坛 ·百家争鸣 ·论坛集萃 ·汉化问答 ·软件介绍
文章首页 >> 一个压缩壳偷OEP的脱壳与优化    Creative Commons License,创作共用协议(中文版)  署名 非商业性使用 禁止演绎

一个压缩壳偷OEP的脱壳与优化

作者: cxlrb 来源:汉化新世纪 时间:2006-10-24 点击:12596

一个压缩壳偷OEP的脱壳与优化
作者:CxLrb     Email:cxlrb@yahoo.com.cn



目标:Registry Trash Keys Finder 3.7.2 (10-12-2006)
下载:http://www.shura.totalcmd.net/download/trashreg.zip
工具:DIE 0.52,OllyDBG及脱壳插件,PETools,FixRes,ImportREC v1.6F,
ResFix,PE Explorer 1.98
保护方式:偷OEP,PEid查不到,DIE查壳:
编译器:Microsoft Visual Basic,加壳器:<.DotFix FakeSigner>
申明:仅仅是学习和研究目的,转载请保证文章完整性,并注明作者及出处,不足之处请指正!




概要
1.  寻找原始入口点(OEP)
2.  修复被偷去的OEP
3.  转储及输入表修复
4.  优化PE文件
5.  结语
6.  感谢



寻找原始入口点(OEP)


我们将TrashReg.exe加载到peid,什么都没找到,加载到DIE 0.52,得到结果为,
编译器:Microsoft Visual Basic,加壳器:<.DotFix FakeSigner>
  
OD调试选项全部打勾,载入TrashReg.exe,“确定”略过入口点预警,继续分析代码选“否”,停在这里:

009750CC > /E9 FF000000     jmp     TrashReg.009751D0          -----入口
009750D1   |60              pushad
009750D2   |8B7424 24       mov     esi, [esp+24]
009750D6   |8B7C24 28       mov     edi, [esp+28]
009750DA   |FC              cld
009750DB   |B2 80           mov     dl, 80
009750DD   |33DB            xor     ebx, ebx
009750DF   |A4              movs    byte ptr es:[edi], byte ptr [esi>
009750E0   |B3 02           mov     bl, 2
009750E2   |E8 6D000000     call    TrashReg.00975154
009750E7  ^|73 F6           jnb     short TrashReg.009750DF
009750E9   |33C9            xor     ecx, ecx
009750EB   |E8 64000000     call    TrashReg.00975154
009750F0   |73 1C           jnb     short TrashReg.0097510E

试了一下,ESP定律不凑效,那就单步跟踪,F8单步大约36次,来到系统领空:

7C92EAF0    8B1C24          mov     ebx, [esp]
7C92EAF3    51              push    ecx
7C92EAF4    53              push    ebx
7C92EAF5    E8 C78C0200     call    ntdll.7C9577C1
7C92EAFA    0AC0            or      al, al
7C92EAFC    74 0C           je      short ntdll.7C92EB0A
7C92EAFE    5B              pop     ebx
7C92EAFF    59              pop     ecx
7C92EB00    6A 00           push    0
7C92EB02    51              push    ecx
7C92EB03    E8 11EBFFFF     call    ntdll.ZwContinue
7C92EB08    EB 0B           jmp     short ntdll.7C92EB15
7C92EB0A    5B              pop     ebx
7C92EB0B    59              pop     ecx
7C92EB0C    6A 00           push    0

现在的出路就只有想办法返回主线程,试了代码段内存断点,不凑效,只有继续亲自跟了,在这里我们按住 Ctrl + F9 不放大约1分钟,直到地址中出现0040XXXX,当然不是很准确,但确实需要返回很多次才可以到达主线程,大概数了一下,需要150次,我们找一找就可以看到一大堆跳转,典型的VB入口处,
……
00403C18  - FF25 14124000   jmp     near [401214]                    ; MSVBVM50.__vbaStopExe
00403C1E  - FF25 9C124000   jmp     near [40129C]                    ; MSVBVM50.__vbaForEachAry
00403C24  - FF25 34124000   jmp     near [401234]                    ; MSVBVM50.__vbaR8Str
00403C2A  - FF25 80104000   jmp     near [401080]                    ; MSVBVM50.__vbaVarCmpNe
00403C30  - FF25 64114000   jmp     near [401164]                    ; MSVBVM50.__vbaVarLikeVar
00403C36  - FF25 B8114000   jmp     near [4011B8]                    ; MSVBVM50.EVENT_SINK_QueryInterface
00403C3C  - FF25 44114000   jmp     near [401144]                    ; MSVBVM50.EVENT_SINK_AddRef
00403C42  - FF25 A4114000   jmp     near [4011A4]                    ; MSVBVM50.EVENT_SINK_Release
00403C48  - FF25 90124000   jmp     near [401290]                    ; MSVBVM50.ThunRTMain   
00403C4E    0000            add     [eax], al
00403C50    AD              lods    dword ptr [esi]
00403C51    FB              sti
00403C52    EC              in      al, dx
00403C53    B1 08           mov     cl, 8
00403C55    CA 1F7D         retf    7D1F

但是令人失望的是没有类似VB的入口语句,如:
Push 0040xxxx              ;  ASCII "VB5!6&*"
Call < jmp.&MSVBVM50.ThunRTMain >

我们先在这一句下硬件执行断点:
00403C48  - FF25 90124000   jmp     near [401290]                    ; MSVBVM50.ThunRTMain 
免得下次跑掉了还要找很久才来到这里。





修复被偷去的OEP


然后我们就想办法补回偷去的OEP,很简单,我们就在 00403C4E 地址处开始写入类似上面的2行代码便可, call后跟
00403C48  - FF25 90124000   jmp     near [401290]                    ; MSVBVM50.ThunRTMain   
这一句的地址无疑,关键是找 push 后应该跟哪个地址,初步判断,应该跟存放类似"VB5!6&*"这样的ASCII码的地址值,我们在OD中往下找找看,如果没有找到,我们分析一下代码再找,
]  

找到这里:
 
00403F44     |56            db      56                        ;  CHAR 'V'
00403F45     |42            db      42                        ;  CHAR 'B'
00403F46     |35            db      35                        ;  CHAR '5'
00403F47     |21            db      21                        ;  CHAR '!'
00403F48     |8C            db      8C
00403F49     |0E            db      0E
00403F4A     |2A            db      2A                        ;  CHAR '*'

我们找到了,只要就要00403F44 这个地址,回到上面的位置,在00403C4E处写入2行代码:

Push 00403F44
Call 00403C48

将附近几行代码都00填充(如果不填00,经测试,运行脱壳后的文件在退出程序时出错),修改后代码如下:
 

00403C36   .- FF25 B8114000 jmp     near [4011B8]             ;  MSVBVM50.EVENT_SINK_QueryInterface
00403C3C   .- FF25 44114000 jmp     near [401144]             ;  MSVBVM50.EVENT_SINK_AddRef
00403C42   .- FF25 A4114000 jmp     near [4011A4]             ;  MSVBVM50.EVENT_SINK_Release
00403C48   .- FF25 90124000 jmp     near [401290]             ;  MSVBVM50.ThunRTMain
00403C4E      68 443F4000   push    TrashReg.00403F44
00403C53      E8 F0FFFFFF   call    TrashReg.00403C48         ;  jmp 到 MSVBVM50.ThunRTMain
00403C58      0000          add     [eax], al
00403C5A      00            db      00
00403C5B      00            db      00
00403C5C      00            db      00
00403C5D      00            db      00
00403C5E      00            db      00
00403C5F      00            db      00
00403C60      30            db      30                        ;  CHAR '0'

 
转储及输入表修复

接下来我们用Ollydump插件将程序dump出来,OEP处填入00403c4e,不要选择重建输入表,保存为dumped.exe

 

用ImportREC v1.6F修复输入表,OEP栏填入3c48,获取输入函数全部有效:



转储后保存为dumped_.exe,程序已可以运行了!



优化PE文件

dumped_.exe太大,我们来优化一下,我们用PE explorer查看一下,共有8个区段,其中有几个可能是垃圾区段,如图所示,
 
 

你可以删除其中几个试试,修复输入表后如果能够运行,那你就成功了,本人测试,5、6、7区段删除后无影响。我们用专业的删除工具petools,
删除程序的最后面4个区段,删除时选择从文件中删除区段,

  

删除完了,剩下4个区段,然后修复一下输入表(ImportREC可以一直不关),这是程序又可以运行起来了,大小为444K。

对于非汉化目的的脱壳,在这里我们重建一下PE也许就可以达到目的了,但为了更完美,我们将资源区段放到最后,看我操作,用FixRes 转储资源区段到磁盘,RVA填入6f000(注:6f000为PE的当前的虚拟大小),文件对齐粒度填入200,

  

然后将转存的资源区段在载入到PE文件的最后一个区段,
 
 
修改资源目录地址为6f000,
  

直接删除区段rsrc,修复地址后出错,所以选择另一种办法,我们把原来的rsrc区段用00填充
  

然后将rsrc区段的虚拟大小值增加到其之前的一个区段的虚拟大小上,即4000+E000=12000,然后将rsrc区段从区段头删除,如下

  

然后petools重建PE,修改一下区段名,收工!重建选项一定不要勾选重建资源选项。
  

最后的文件用Resource 2006打开看不到资源,可以使用《汉化初学者进阶教程 3》中叙述的方法重建资源,这里不再赘述。



结语

只因为用了很多繁杂的操作,是因为rsrc区段后面那个区段在PE文件中的位置很重要,改变了程序就无法运行,如果你有更好的方法,可以拿出来分享,谢谢观赏!



感谢

一蓑烟雨,看雪论坛,汉化新世纪论坛!
以及各位成员提供的好工具!

2006.10.18  CxLrb


附件含脱壳优化后的目标程序。

附加文件  Unpacking_Stolen_OEP_CxLrb.rar ( 321.65k )

汉化新世纪 责任编辑: cxlrb .:|:. 标签(Tag): 资源修复 脱壳 优化 偷OEP

·上一篇: 烈火--抗议将我的汉化作品进行重打包行为 ·下一篇: 汉化快报第3期

· 版权申明: 本文引自《汉化新世纪》,如有版权疑问请及时联系本站,以便本站处理。

· 转载申明: 本文引自《汉化新世纪》[ 作者: cxlrb],如需转载请直接联系原始作者,并请注明原始出处。

相关文章                                                                                发表评论 打印此文 关闭窗口

| 设为首页 | 加入收藏 | 联系我们 | 友情链接
Creative Commons License,创作共用协议(中文版)  署名 非商业性使用 禁止演绎
本站内容,除转载或版权特别申明的内容外,皆遵守 创造共用协议中文版之“署名-非商业性使用-禁止演绎 2.5 中国大陆”条款
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 2.5 China License.
本网站内容源自汉化新世纪论坛的摘录和汉化新世纪成员的原创文章。
凡汉化新世纪论坛的文字皆默认为汉化新世纪与原作者共同拥有并授权发布。
如对本站发布文章有所异议请来信告知,我们将及时删除。
凡商业摘录本站文字请先与我们联系,本站将保留非授权商业发布的追究权利。
凡非商业摘录本站文字请明显注明出处和原作者,并不得改动,凡改动必先征求原作者同意。
苏ICP备05002283号