雖然已經有petite v2.2的脫殼機,但我認為手動脫殼是一個cracker必須掌握的基本技能之一,有必要學習ImportREC重建IAT的技巧。
就拿embird[bcg]在論壇貼的問題做例子吧!
目標軟體:http://ftp.eware.com.cn/pub/utility/reader/RB_SetupV1.46.zip
工具:trw2000,ImportREC v1.3,衝擊波2000
一,找OEP
很簡單,用衝擊波2000可看到OEP在426F67處。
二,儲存主程式
在426F67處設斷點,中斷後下命令:“makepe c:\dump.exe”。
三,重建IAT
下命令“suspend”掛起程式。回到window,執行ImportREC,選ReadBook.exe,
輸入OEP(4526f67-40000 = 26f67),
"IAT AutoSearch",可得到IAT,但還有一些指標未解決,點選“Get Import”,“AUTO TRACE”後,全部解決。
“fix dump”後生成dump_.exe。執行它非法操作。用trw2000跟蹤找到非法操作的地方:
017F:0044DCF4 33DB XOR
EBX,EBX
017F:0044DCF6 385814 CMP
[EAX+14],BL
017F:0044DCF9 7409 JZ
0044DD04
017F:0044DCFB 838E14010000FF OR DWORD [ESI+0114],BYTE
-01
017F:0044DD02 EB63 JMP
SHORT 0044DD67
017F:0044DD04 53 PUSH
EBX
017F:0044DD05 FF15FC364500 CALL [4536FC] <----這是非法操作的地方
017F:0044DD0B 3BC3 CMP
EAX,EBX
017F:0044DD0D 7D0A JNL
0044DD19
017F:0044DD0F 53 PUSH
EBX
017F:0044DD10 E863000000 CALL 0044DD78
檢視[4536FC]的內容發現該地址指向ole32.dll。看來ImportREC並沒有完全修復IAT,重新執行ImportREC
輸入OEP,點選"IAT AutoSearch",發現預設的RVA是:00052FFC,Size是00000394。
但是00052FFC+00000394=53390小於4536FC!原來petite 的外殼欺騙了ImportREC,使它得不到完全的IAT
那麼我們就手動輸入一個範圍給它。我把Size改為00000709,加大查詢範圍。(00000709是個經驗值,可以自己試出來)。"Get Import",“AUTO
TRACE”後,還有一個指標未解決,它指向Cxxxxxxx,不太合理,而且程式也位使用它,那就隨便給它一個函式名吧(我選GetTickCount)。“fix
dump”後再次生成dump_.exe。
這樣dump_.exe可以執行了。但還有暗樁:
017F:00417CE6 C6470165 MOV BYTE
[EDI+01],65
017F:00417CEA FF75F0 PUSH DWORD
[EBP-10]
017F:00417CED FF75D8 PUSH DWORD
[EBP-28]
017F:00417CF0 FF75E8 PUSH DWORD
[EBP-18]
017F:00417CF3 E8BB060000 CALL 004183B3
<-----此call是暗樁,F8進入
017F:00417CF8 83C40C ADD
ESP,BYTE +0C
017F:00417CFB 85C0 TEST
EAX,EAX
017F:00417CFD 0F8516010000 JNZ NEAR 00417E19
017F:00417D03 53 PUSH
EBX
017F:00417D04 53 PUSH
EBX
017F:004183B3 FF742408 PUSH DWORD [ESP+08]
017F:004183B7 FF742408 PUSH DWORD [ESP+08]
017F:004183BB E80CF1FFFF CALL 004174CC
<-----,F8進入
017F:004183C0 2B442414 SUB EAX,[ESP+14]
017F:004183C4 59 POP
ECX
017F:004183C5 59 POP
ECX
017F:004183C6 F7D8 NEG
EAX
017F:004183C8 1BC0 SBB
EAX,EAX
017F:004183CA 40 INC
EAX
017F:004183CB C3 RET
017F:004174CC 8B4C2408 MOV ECX,[ESP+08]
----------+
017F:004174D0 83C8FF OR
EAX,BYTE -01 |
017F:004174D3 8BD1 MOV
EDX,ECX |
017F:004174D5 49 DEC
ECX
|
017F:004174D6 85D2 TEST
EDX,EDX |
017F:004174D8 7423 JZ
004174FD |
017F:004174DA 56 PUSH
ESI
|
017F:004174DB 8D5101 LEA
EDX,[ECX+01] | 典型的crc32
017F:004174DE 8B4C2408 MOV ECX,[ESP+08]
|
017F:004174E2 57 PUSH
EDI
|
017F:004174E3 0FB631 MOVZX ESI,BYTE
[ECX] |
017F:004174E6 0FB6F8 MOVZX EDI,AL
|
017F:004174E9 33F7 XOR
ESI,EDI |
017F:004174EB C1E808 SHR
EAX,08 |
017F:004174EE 8B34B590594600 MOV ESI,[ESI*4+00465990]
|
017F:004174F5 33C6 XOR
EAX,ESI |
017F:004174F7 41 INC
ECX
|
017F:004174F8 4A DEC
EDX
|
017F:004174F9 75E8 JNZ
004174E3 ---------------|
017F:004174FB 5F POP
EDI
017F:004174FC 5E POP
ESI
後面怎麼該,我就不多說了,留給大家吧!