如何跟蹤ASProtect外殼加密過的程式?
【宣告】
我寫文章以交流為主,希望大家在轉載時能保持文章的完整性。
【前言】
由於ASProtect外殼加密過的程式中運用了很多反跟蹤的技術,所以說起來實在是件費事的事情。我實在擔心自己水平有限,無法把它們說得明白。不過想想我又不是權威,錯誤在所難免。既然我辦的是"技術交流站",不一定要保證每句話都是正確的,也不是寫出來就要做什麼教程之類的。既是"交流",那麼應該大家都在"交流"中提高,而不是我象個傳教士一樣永遠給大家念著一百年不變的經文。所以我希望不光我說,大家也說。怎麼說都行,每個人都可以有每個人的風格。:-)
希望我的想法不是夢想。
作者: ljtt
寫作日期: 2001-04-10
【開始】
你跟蹤過ASProtect外殼加密過的程式嗎?如果你說跟蹤過,是否有過這樣的經歷?
015F:012803D9 E3 33 C0 5A 59 59 64 89-10 68 F7 03 28 01 8D 45 .3.ZYYd..h..(..E
015F:012803E9 FC E8 A1 2D FF FF C3 E9-F3 29 FF FF EB F0 5F 5E ...-.....)...._^
015F:012803F9 5B 59 5D C3 00 00 00 FF-FF FF FF 02 00 00 00 0D [Y].............
015F:01280409 0A 00 00 55 8B EC 53 56-8B DA 8B F0 8B 45 08 8B ...U..SV.....E..
哪哪KERNEL32!FindClose+0386哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪PROT32
015F:BFF768C6 FF5518
CALL [EBP+18]
015F:BFF768C9 83C410
ADD ESP,10
015F:BFF768CC 648F0500000000 POP
DWORD PTR FS:[00000000]
015F:BFF768D3 C9
LEAVE
015F:BFF768D4 C3
RET
你時常會被帶到如上圖所示的 FindClose 的領空,然後在系統核心裡轉悠了大半個世紀,才好不容易回到程式的領空。
呵呵,我就曾有過這樣的經歷。正當我暗自竊喜時,卻發現跟蹤沒多長時間又一次來到了老地方,昏倒.....。
看來這其中有蹊蹺,我們不妨從當前的堆疊入手。看看有什麼發現?
我們下指令:
D ESP
顯示如下結果:
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪byte哪哪哪哪哪哪哪PROT哪?0)哪
0167:0081FB10 D8 FB 81 00 D0 FC 81 00-F4 FB 81 00 B0 FB 81 00 ................
^^^^^^^^^^^ ^^^^^^^^^^^ ^^^^^^^^^^^
^^^^^^^^^^^
我們一一顯示 0081FBD8 、0081FCD0 、0081FBF4 、0081FBB0 的內容。終於你會發現一點線索。
我們下指令:
D 81FBF4
顯示如下結果:
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪byte哪哪哪哪哪哪哪PROT哪?0)哪
0167:0081FBF4 1F 00 01 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0167:0081FC04 00 00 00 00 00 00 00 00-55 01 00 00 7F 02 FF FF ........U......
0167:0081FC14 00 00 FF FF FF FF FF FF-00 00 00 00 00 00 00 00 ................
0167:0081FC24 00 00 00 00 00 00 FF FF-00 00 00 00 00 00 00 00 ................
呵呵,正好我學習過一點SEH的知識,瞭解CONTEXT結構,看到這......不再猶豫..... 81FBF4 可能是 _CONTEXT 結構的指標。
我們先來了解一下 _CONTEXT 結構的定義:
_CONTEXT STRUC
cx_ContextFlags DD ?
;CONTEXT_DEBUG_REGISTERS
cx_Dr0 DD ?
;04
cx_Dr1 DD ?
;08
cx_Dr2 DD ?
;0C
cx_Dr3 DD ?
;10
cx_Dr6 DD ?
;14
cx_Dr7 DD ?
;18
;CONTEXT_FLOATING_POINT
cx_ControlWord DD ?
cx_StatusWord DD ?
cx_TagWord DD ?
cx_ErrorOffset DD ?
cx_ErrorSelector DD ?
cx_DataOffset DD ?
cx_DataSelector DD ?
SIZE_OF_80387_REGISTERS EQU 80
cx_RegisterArea DB SIZE_OF_80387_REGISTERS DUP
(?)
cx_Cr0NpxState DD ?
;CONTEXT_SEGMENTS
cx_SegGs DD ?
;8C
cx_SegFs DD ?
;90
cx_SegEs DD ?
;94
cx_SegDs DD ?
;98
;CONTEXT_INTEGER
cx_Edi DD ?
;9C
cx_Esi DD ?
;A0
cx_Ebx DD ?
;A4
cx_Edx DD ?
;A8
cx_Ecx DD ?
;AC
cx_Eax DD ?
;B0
;CONTEXT_CONTROL
cx_Ebp DD ?
;B4
cx_Eip DD ?
;B8
cx_SegCs DD ?
;BC
cx_EFlags DD ?
;C0
cx_Esp DD ?
;C4
cx_SegSs DD ?
;C8
_CONTEXT ENDS
;size of CONTEXT is 0CCH bytes
從上面的定義中我們可以知道 _CONTEXT 結構偏移 B8 處儲存的是 EIP 的值。我們來看一下 81FBF4 + B8 的值:
我們下指令:
D 81FBF4+B8
顯示如下結果:
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪byte哪哪哪哪哪哪哪PROT哪?0)哪
0167:0081FCAC 4A FF 27 01 5F 01 00 00-46 02 00 00 D0 FC 81 00 J.'._...F.......
^^^^^^^^^^^
我們設下斷點:
BPX 127FF4A
然後,按F5鍵,果然程式在我們設下的斷點處停了下來。:-)
顯示如下結果:
015F:0127FF4A 648F0500000000 POP
DWORD PTR FS:[00000000] <---停在此處
015F:0127FF51 58
POP EAX
015F:0127FF52 E84127FFFF CALL
01272698
015F:0127FF57 A154352801 MOV
EAX,[01283554]
015F:0127FF5C 83E80D
SUB EAX,0D
015F:0127FF5F 8B1554352801 MOV
EDX,[01283554]
看來我們已經掌握了它的一點規律。但我們不能只滿足於此,我們來看一下程式是如何做的?
我取了程式即將設下這個小圈套的一段程式碼。由於其中使用了花指令,所以我稍微做了點改動,使SoftICE能正確顯示彙編程式碼。
015F:0127FEFB 90
NOP
015F:0127FEFC 64FF30
PUSH DWORD PTR FS:[EAX]
015F:0127FEFF EB01
JMP 0127FF02
015F:0127FF01 90
NOP
015F:0127FF02 648920
MOV FS:[EAX],ESP
<---建立SEH鏈
015F:0127FF05 3100
XOR [EAX],EAX
015F:0127FF07 EB01
JMP 0127FF0A
015F:0127FF09 90
NOP
015F:0127FF0A 648F0500000000 POP
DWORD PTR FS:[00000000]
015F:0127FF11 EB02
JMP 0127FF15
015F:0127FF13 90
NOP
015F:0127FF14 90
NOP
015F:0127FF15 58
POP EAX
015F:0127FF16 E825000000 CALL
0127FF40
015F:0127FF1B 8B44240C MOV
EAX,[ESP+0C]
<---EAX此時即為 CONTEXT 的指標
015F:0127FF1F 8380B800000002 ADD
DWORD PTR [EAX+000000B8],02 <---修改 CONTEXT.EIP
015F:0127FF26 51
PUSH ECX
015F:0127FF27 31C9
XOR ECX,ECX
<---ECX = 0
015F:0127FF29 894804
MOV [EAX+04],ECX
<---修改 CONTEXT.Dr0 = 0
015F:0127FF2C 894808
MOV [EAX+08],ECX
<---修改 CONTEXT.Dr1 = 0
015F:0127FF2F 89480C
MOV [EAX+0C],ECX
<---修改 CONTEXT.Dr2 = 0
015F:0127FF32 894810
MOV [EAX+10],ECX
<---修改 CONTEXT.Dr3 = 0
015F:0127FF35 C7401855010000 MOV
DWORD PTR [EAX+18],00000155 <---修改 CONTEXT.Dr7
= 155
015F:0127FF3C 59
POP ECX
015F:0127FF3D 31C0
XOR EAX,EAX
015F:0127FF3F C3
RET
<---在此處就將進入 FindClose 的領空了
原來程式在反跟蹤時,不但用 SEH 的方式使得不知其所以的人跟蹤時陷入了設下的圈套;而且,還使得我們以前設下的斷點失效。
(Dr0、Dr1、Dr2、Dr3與斷點有關,Dr7與斷點的控制有關,至於這方面的內容如果你不清楚,那麼你可以選擇看一些比較專業的書籍來理解,我無法把它說得清楚。)
從這裡我們更加可以肯定我們先前的判斷了。以後我們再跟蹤時,就不會再在這個小圈套裡出不來了。如果你再總結一下規律,也許會發現更多,這就留給大家了。:-)
。
比如,我發現其實程式每次使用這種方法時,真正要跳到的地方就在 RET 指令後面不遠處的指令。所以每當我遇到花指令開始的地方,就會明白程式又要給我開開玩笑了,我會在
RET 指令處停下來,然後在後面不遠處的指令設下新斷點,然後按 F5 鍵,呵呵,平穩落地。
【後記】
由於本站的主題為"技術研習",所以我想改變以前只寫"如何做"的方式,而儘量以我所知加上以"為何如此做"的方式寫。這樣我將選擇性地在某些難點上費些口水,而不再寫如何完整的脫某個程式的殼了。當然另外的原因就是現在的手動脫殼越來越繁鎖,雖然外殼加密程式本身可能只是新增了一些新的反跟蹤/反破解的手法而已,但只寫"如何做"的方式是無法使人明白這些變化的。