黑客技术之slv unpackme 脱壳

其实壳本身不要紧,问题是vm里面有个校验。

sm同学手下留情,我勉强能搞一个运行正常的,没精力还原vm了。

在virutalfree的retn上f4, 直到[esp]是一个exe image内的地址f7返回:

0040FA91 B8 BE180000 mov eax, 18BE

0040FA96 BA 00004000 mov edx, slv_unpa.00400000

0040FA9B 03C2 add eax, edx

0040FA9D – FFE0 jmp eax

在jmp eax上f4 f7到oep:

004018BE 68 EA1AF500 push 0F51AEA

004018C3 – E9 EF01B500 jmp 00F51AB7

004018C8 CC int3

004018C9 CC int3

jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的:

bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下:

0040FBB6 6A 40 push 40

0040FBB8 68 00100000 push 1000

0040FBBD 50 push eax

0040FBBE 6A 00 push 0

0040FBC0 FF13 call [ebx] ; kernel32.VirtualAlloc

0040FBC2 8BD0 mov edx, eax

0040FBC4 8BFA mov edi, edx

0040FBC6 8B4E FC mov ecx, [esi-4]

0040FBC9 F3:A4 rep movsb

往下走ecx=000151E9, 复制一个unpackme.exe到2.exe, 增加一个section header:

vaddr=0x0022000

vsize=0x20000

加载2.exe在0040FBC2上f4把eax改成422000.

然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe

接着用imprec fixdump 生成 3.exe

一运行非法了, 点调试挂上od:

00422CCA 8910 mov [eax], edx//eax=00140688

00422CCC E9 0D0E0000 jmp 00423ADE

向上看全是屁股…啊不对, 全是花指令, 不过只有 EB, nop掉:

00422CA4 33C0 xor eax, eax

00422CAC AC lodsb

00422CB1 8B1487 mov edx, [edi eax*4]

00422CB7 33C0 xor eax, eax

00422CBD AC lodsb

00422CC1 8B0487 mov eax, [edi eax*4]

00422CCA 8910 mov [eax], edx

00422CCC E9 0D0E0000 jmp 00423ADE

看样子只是一个虚拟机指令, 好像丢掉东西了.

校验是哪里来的?

想法一:GetFileSize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.

想法二:在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?

联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header

加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问[400110]==1000

加载3.exe也中断了,[400110]==18BE

原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口.

解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动.

401000 ctrl r找到两处参考,都改401005

004011DA E8 21FEFFFF call 3.00401000

004011EC E8 0FFEFFFF call 3.00401000

修改这里的代码:

00401000 > /E9 B9080000 jmp 4.004018BE

00401005 |68 EA9C4200 push 4.00429CEA

0040100A -|E9 A82A0200 jmp 4.00423AB7

保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了.

不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,

结果跳到18be又DialogParam了

那么只好选择写保护了,用lordpe添加一个输入函数VirutalProtect

在oep下面找片空地写代码, 最后跳回18be

004018C8 > B8 00004000 mov eax, 00400000

004018CD 0340 3C add eax, [eax 3C]

004018D0 8D78 28 lea edi, [eax 28]

004018D3 50 push eax

004018D4 54 push esp

004018D5 6A 04 push 4

004018D7 6A 04 push 4

004018D9 57 push edi

004018DA FF15 1E304400 call [44301E] ; kernel32.VirtualProtect

004018E0 58 pop eax

004018E1 B8 00100000 mov eax, 1000

004018E6 AB stosd

004018E7 ^ EB D5 jmp 004018BE

把入口改成18c8,搞定收工.

发表评论

邮箱地址不会被公开。 必填项已用*标注