目的:在記憶體中將FlashFXP未被破壞的IT完整地提取出來
(至於找TELock的OEP、修復的方法等,zombieys、hying、liotta已經講得很詳細了)
第一步:找到IT的位置
找IT自然要依賴於IT的結構特徵。IT是個陣列,陣列中的每個元素是如下的一個結構(#include <winnt.h>),對應著引入的一個DLL:
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD Characteristics;
// 0 for terminating null import descriptor
DWORD OriginalFirstThunk;
// RVA to original unbound IAT (PIMAGE_THUNK_DATA)
};
DWORD TimeDateStamp;
// 0 if not bound,
// -1 if bound, and real date\time stamp
// in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
// O.W. date/time stamp of DLL bound to (Old BIND)
DWORD ForwarderChain;
// -1 if no forwarders
DWORD Name;
//DLL name
DWORD FirstThunk;
// RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
PE Loader/unpacker在載入DLL時,過程大致如下:
1、先根據Name用LoadLibraryA載入一個DLL;
2、根據FirstThunk找到IMAGE_IMPORT_BY_NAME陣列,用GetProcAddress取得該DLL中的相應函式的地址填入IAT。FirstThunk就是指向IAT。
typedef struct _IMAGE_IMPORT_BY_NAME {
WORD Hint;
BYTE Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
找IT的位置的過程和上面的過程有些相反。利用偵錯程式設bpx LoadLibraryA、bpx GetProcAddress斷點,我們能夠直接得到的條件是DLL檔名
字串及該串的記憶體地址、每個函式的Hint和函式名的記憶體地址、IAT的位置(即GetProcAddress的返回值所要寫入的位置),這樣就至少有3條途
徑可以找到IT的位置,一是根據DLL Name(在看雪教學中已有詳細描述),第二條途徑是根據Hint和函式名的地址,第三條則是根據IAT的位置
,這3條途徑用的是同一種方法(這是找IT的一種通用方法,並不限於TELock加的殼)。
1、用BPMB LoadLibraryA X DO "d *(esp+4)"設斷點,看見載入oleaut32.dll:
0023:00533DBC 61656C6F 32337475 6C6C642E 00000000
oleaut32.dll....
0023:00533DCC 69726156 43746E61 676E6168 70795465
VariantChangeTyp
0023:00533DDC 00784565 61560000 6E616972 706F4374
eEx...VariantCop
0023:00533DEC 646E4979 00000000 69726156 43746E61
yInd....VariantC
0023:00533DFC 7261656C 00000000 53737953 6E697274
lear....SysStrin
0023:00533E0C 6E654C67 00000000 46737953 53656572
gLen....SysFreeS
0023:00533E1C 6E697274 00000067 52737953 6C6C4165
tring...SysReAll
0023:00533E2C 7453636F 676E6972 006E654C 79530000
ocStringLen...Sy
2、先嚐試第一條途徑。字串"oleaut32.dll"的RVA為00133DBC,於是在記憶體中搜尋這個RVA,希望能夠找到存放有該RVA值的某個
IMAGE_IMPORT_DESCRIPTOR結構,也就等於是找到了IT。
:s cs:400000 l 178000 bc,3d,13,00
Pattern not found
沒有找到。因為TELock已經把相應位置上的值清0了。(實際上也可以用下一個DLL的檔名來進行搜尋,因為TELock此時尚未處理下一個DLL,
它不可能提前把下一個DLL的IMAGE_IMPORT_DESCRIPTOR結構清掉。)
3、再嘗試第2條途徑。注意到第一個函式VariantChangeTypeEx的Hint的地址是00533DCA,於是搜尋RVA值00133DCA,希望能夠找到FirstThunk
所指向的那個陣列(其實該陣列也就是IAT),進而再找到FirstThunk的位置。
:s cs:400000 l 178000 ca,3d,13,00
Pattern found at 001B:0053328C (0013328C)
找到之後看一下IAT。由於此時還未把GetProcAddress的返回值寫入IAT,所以此時IAT中存放的都是指向IMAGE_IMPORT_BY_NAME的指標(RVA)
:
:dd 53328c
001B:0053328C 00133DCA 00133DE0 00133DF2 00133E02
.=...=...=...>..
001B:0053329C 00133E12 00133E22 00133E38 00000000
.>..">..8>......
001B:005332AC 00133E5A 00133E68 00133E76 00133E84
Z>..h>..v>...>..
001B:005332BC 00133E98 00000000 00133EBC 00133ECE
.>.......>...>..
001B:005332CC 00133EE2 00133EF6 00133F06 00133F14
.>...>...?...?..
001B:005332DC 00133F24 00133F36 00133F44 00133F58
$?..6?..D?..X?..
001B:005332EC 00133F70 00000000 00133F96 00133FA2
p?.......?...?..
001B:005332FC 00133FAE 00133FBA 00133FC6 00133FDC
.?...?...?...?..
4、再看究竟是哪個FirstThunk指向了上面的IAT。由於該IAT的RVA為0013328C,故
:s cs:400000 l 178000 8c,32,13,00
Pattern found at 001B:0053304C (0013304C)
5、這樣就找到了oleaut32.dll所對應的FirstThunk的位置是0053304C。在此位置附近看一下,就可以找到IT的起始位置為00533000
,長度為0x1CC(問號表示未被對映的記憶體空間;最初的4個IMAGE_IMPORT_DESCRIPTOR結構已經被清除了一部分):
001B:00532FE0 ???????? ???????? ???????? ????????
................
001B:00532FF0 ???????? ???????? ???????? ????????
................
001B:00533000 00000000 00000000 00000000 00000000
................
001B:00533010 001331CC 00000000 00000000 00000000
.1..............
001B:00533020 00000000 0013326C 00000000 00000000
....l2..........
001B:00533030 00000000 00000000 0013327C 00000000
........|2......
001B:00533040 00000000 00000000 00000000 0013328C
.............2..
001B:00533050 00000000 00000000 00000000 00133E4C
............L>..
001B:00533060 001332AC 00000000 00000000 00000000
.2..............
001B:00533070 00133EAE 001332C4 00000000 00000000
.>...2..........
001B:00533080 00000000 00133F88 001332F4 00000000
.....?...2......
001B:00533090 00000000 00000000 001346D4 0013349C
.........F...4..
第二步:找到破壞IT的程式碼
由於TELock清除了IT中指向DLL檔名的RVA,故只要設個bpm斷點,看它什麼時候清這個檔名的,就可以找到破壞IT的程式碼。
第一個DLL檔名的RVA存放在0053300C處,故BPM 00533000+0C W do "dd 533000",
001B:00576C16 8B95BEAF4000 MOV
EDX,[EBP+0040AFBE]
001B:00576C1C 8BB5AEAF4000 MOV
ESI,[EBP+0040AFAE]
001B:00576C22 85F6
TEST ESI,ESI
001B:00576C24 0F849D030000 JZ
00576FC7
001B:00576C2A 03F2
ADD ESI,EDX
001B:00576C2C 83A5AAB0400000 AND
DWORD PTR [EBP+0040B0AA],00
001B:00576C33 8B460C MOV
EAX,[ESI+0C]
001B:00576C36 83660C00 AND
DWORD PTR [ESI+0C],00 //清除指向每個DLL的Name的RVA值
001B:00576C3A 85C0
TEST EAX,EAX
001B:00576C3C 0F8485030000 JZ
00576FC7
001B:00576C42 03C2
ADD EAX,EDX
001B:00576C44 8BD8
MOV EBX,EAX
001B:00576C46 50
PUSH EAX
001B:00576C47 FF9518AF4000 CALL
[EBP+0040AF18]
001B:00576C4D 85C0
TEST EAX,EAX
001B:00576C4F 0F858C000000 JNZ
00576CE1
001B:00576C55 53
PUSH EBX
在第一次執行上面CS:00576C36處的AND之前將533000~535FFF之間的內容(共0x3000位元組,不僅包含IT,還包含IAT等)dump出來就行了。
所以覺得TELock目前還沒有ASProtect強