您的位置:首页精文荟萃破解文章 → Thebat!139脱壳详情及对Asprotect加壳保护的一点小结 (4千字)

Thebat!139脱壳详情及对Asprotect加壳保护的一点小结 (4千字)

时间:2004/10/15 1:02:00来源:本站整理作者:蓝点我要评论(0)

 

Thebat!139脱壳详情及对Asprotect加壳保护的一点小结

小弟本想脱thebat141的壳的,但小弟下载的thebat141却没有加壳,没办法,还是拿thebat139开刀了。

如果小弟下面的内容有错漏的地方,请给小弟指正。

小弟的脱壳方法和冰毒的不同,他的方法我用不了,我用Procdump32脱不了thebat的壳。

废话少说,let's go!

所用工具:soft-ice405、icedump6015、procdump1.6.2、ultraedit5.0。

首先加载softice,再加载icedump。运行procdump32,点击PE Editor,选择thebat.exe

文件,我们要记一下数据了:size of image:00314000  image base:00400000,

点击sections,记下.idata的数据:virtual siza:00003000  virtual offset:0022E000 ,这样我们

可以知道.idata在内存中的地址为:0062E000,长度为:3000

启动Symbol Loader,载入thebat.exe(加载过icedump后,softice可以成功拦截thebat),点击一下Load,

马上被拦截,如下:

XXX:006FF001    PUSHAD  **第一个PUSHAD指令**

XXX:006FF002    CALL  006FF008  按F8进入

XXX:006FF007    NOP

XXX:006FF008    POP  EBP 按F10一直来到:

XXX:006FF0D6    CALL  006FF0DE  按F8进入

在这之后的一段程序要走的小心一点,我建议用F8,如果离开了thebat的就按一下F12,然后再按F8,

一直来到:               

XXX:006FFA3B    PUSHAD  **第二个PUSHAD指令**    改按F10一直来到:

XXX:006FFB6C    POPAD    **和第二个PUSHAD指令是一对**

XXX:006FFB6D    POP EBP

XXX:006FFB6E    RET  0008  这个CALL走完了,来到:

XXX:006FF09F    MOV  ECX,EAX  按F10来到:

XXX:006FF0D6    CALL  006FF0DE  按F8进入,然后一直按F10来到:                     

XXX:006FFA3B    PUSHAD  **第三个PUSHAD指令** (难道又回去了?当然不是。)按F10直到:             

XXX:006FFB6C    POPAD    **和第三个PUSHAD指令是一对**

XXX:006FFB6D    POP  EBP

XXX:006FFB6E    RET  0008 走完这个CALL来到:

XXX:006FF1D3    PUSH  04

XXX:006FF1D5    PUSH  00001000  按F10一直到:

XXX:006FF218    CALL  006FF220  按F8进入,之后按F10一直到:

XXX:006FF2A2    CALL  006FF2AA  这里开始一直按F8,如果离开了thebat,就按一下F12,再按F8来到:

XXX:0099E001    PUSHAD  **第四个PUSHAD指令** F10一直来到:

XXX:0099E5C5    POPAD    **和第四个PUSHAD指令是一对**

XXX:0099E5C6    JNP  009E5D0

XXX:0099E5C8    MOV  EAX,00000001

XXX:0099E5CD    RET  000C

XXX:0099E5D0    PUSH  00990B60

XXX:0099E5D5    RET  终于走完了这个CALL,来到这里:

XXX:00990B60    PUSH  EBP 按F10来到:

XXX:00990B8A    CALL  00983DC4  F8进入,F10来到:

XXX:00990956    CALL  009904F4  F8进入,F10来到:

XXX:00990A11    CALL  00990110

XXX:00990A16    XOR  EAX,EAX    (这里和冰毒一样,我可省了不少时间:-))

这里下: PAGEIN D 62E000 3000 D:\IDATA.BIN    得到完整的.idata部分

继续F10来到:         

XXX:00990B43    CALL  009904C8  F8进入,来到这里:

XXX:009904D5    POPAD  **和第一个PUSHAD指令是一对**

XXX:009904D6    PUSH  EAX

XXX:009904D7    RET  (这里冰毒用Procdump32脱壳。可以吗?我怎么不行?谁可以就教教我。)

走完这里来到:     

XXX:0061C528  PUSH  EBP

来到这里后Soft-Ice中显示着‘THEBAT!CODE+0021B526’,有‘CODE’的字样,我们可以知道thebat是

用Broland写,成的,而且我们已经进入了主程序,可以脱壳了。

下: PAGEIN D 400000 314000 D:\THEBAT.EXE  得到脱壳后的thebat.exe文件 

用ultraedit5.0打开thebat.exe及idata.bin,将idata.bin的内容替换到thebat.exe的22E000--230FFF中。

这样得到的程序还不能用,启动Procdump32修改文件Sections。

将每一项Section的 Raw Size ==> Virtual Size  ; Raw Offset ==> Virtual Offset

将程序入口改成:0021C528(61C528-400000=21C528)

我记得冰毒说这样脱壳的程序不行,当然了!因为他漏了最重要的一步(趁冰毒不在,说了他不少坏话,

大家可不要告诉他呦:-D):

点击Procdump32中的 PE Editor-->Directory,将 Import Table 的值改成:0022E000

自此程序已脱壳成功,我们来小结一下:

小弟通过对几个用Asprotect加壳的软件脱壳,对Asprotect加的壳有的一定了解,发现了一点共有的特征,

用Asprotect加壳的软件会出现3到4对‘PUSHAD--POPAD’指令(用Aspack或Upx加壳的软件只会出现一对)

在走完这几对‘PUSHAD--POPAD’指令后,我们便进入到主程序了,可以开始脱壳。脱壳后的文件还要还

原PE文件头,要将完整的‘.idata’或‘.rdata’替换到脱壳后的文件中,至于到底是‘.idata’还是

‘.rdata’就要大家自己去判断了,最后修改文件的Sections、Entry Point、Import Table各项。这样也

就脱壳成功了。

baoleigz(暴雷)


本例常见问题:
1、请问thebat1.39中为何在 :00990A16 XOR EAX,EAX 处DUMP .idata,原理何在?
用Soft-ice载入程序后下‘D 62E000’屏幕上出现很多的‘??’,这说明‘.idata’还没有解压出来。我们要在‘.idata’解压后的第一时间内把它Dump出内存。还记得我说过Asprotect加壳的程序会出现4对‘PUSHAD-POPAD’指令吗?通常走完第3个POPAD指令后开始找,还是下‘D 62E000’。我破过3个用Asprotect加壳的软件,发现‘.idata'好象也有规律,它们的前16个Byte很相似:1到12Byte的代码为‘00’,13到15的代码为‘XX’(不同的软件不同),16Byte为‘00’。当我们来到: XXX:00990A11 CALL 00990110 下‘D 62E000'看到代码不是我上面提到的形式 XXX:00990A16 XOR EAX,EAX 下 ‘D 62E000'看到代码和我上面提到的形式一样 所以在这里DUMP出内存。记住掌握好时间,再走一段程序‘.idata’就又变了。 如果你有空就拿几个软件多练练,熟能生巧,别忘了总结。最后祝你好运!


一点补充: 小弟又对一个用Asprotect加壳的软件脱壳,发现.idata section的前16Byte代码未必是我提到的形式。 不过完整的.idata section和不完整的.idata section前16Byte代码肯定是一样的,我们可以先用Procdump32把文件的.idata section Dump一次,再用Uedit32打开Dump后的文件,查看前16Byte代码,最后以此为依据,在Soft-Ice中找到完整的.idata section后用IceDump把它Dump出内存。


    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程