黑客技术之slv unpackme 脱壳
程序员文章站
2022-03-19 12:09:01
其实壳本身不要紧,问题是vm里面有个校验。
sm同学手下留情,我勉强能搞一个运行正常的,没精力还原vm了。
在virutalfree的retn上f4, 直到[esp]是一个exe image内的地址f7返回:
... 08-10-08...
其实壳本身不要紧,问题是vm里面有个校验。
sm同学手下留情,我勉强能搞一个运行正常的,没精力还原vm了。
在virutalfree的retn上f4, 直到[esp]是一个exe image内的地址f7返回:
0040fa91 b8 be180000 mov eax, 18be
0040fa96 ba 00004000 mov edx, slv_unpa.00400000
0040fa9b 03c2 add eax, edx
0040fa9d - ffe0 jmp eax 在jmp eax上f4 f7到oep: 004018be 68 ea1af500 push 0f51aea
004018c3 - e9 ef01b500 jmp 00f51ab7
004018c8 cc int3
004018c9 cc int3 jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的: bp virtualalloc, 不停的ctrl f9看到eax=00f50000停下: 0040fbb6 6a 40 push 40
0040fbb8 68 00100000 push 1000
0040fbbd 50 push eax
0040fbbe 6a 00 push 0
0040fbc0 ff13 call [ebx] ; kernel32.virtualalloc
0040fbc2 8bd0 mov edx, eax
0040fbc4 8bfa mov edi, edx
0040fbc6 8b4e fc mov ecx, [esi-4]
0040fbc9 f3:a4 rep movsb 往下走ecx=000151e9, 复制一个unpackme.exe到2.exe, 增加一个section header: vaddr=0x0022000
vsize=0x20000 加载2.exe在0040fbc2上f4把eax改成422000. 然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe
接着用imprec fixdump 生成 3.exe 一运行非法了, 点调试挂上od: 00422cca 8910 mov [eax], edx//eax=00140688
00422ccc e9 0d0e0000 jmp 00423ade 向上看全是屁股...啊不对, 全是花指令, 不过只有 eb, nop掉: 00422ca4 33c0 xor eax, eax
00422cac ac lodsb
00422cb1 8b1487 mov edx, [edi eax*4]
00422cb7 33c0 xor eax, eax
00422cbd ac lodsb
00422cc1 8b0487 mov eax, [edi eax*4]
00422cca 8910 mov [eax], edx
00422ccc e9 0d0e0000 jmp 00423ade 看样子只是一个虚拟机指令, 好像丢掉东西了. 校验是哪里来的?
想法一:getfilesize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.
想法二:在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?
联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header 加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问[400110]==1000
加载3.exe也中断了,[400110]==18be
原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口. 解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动. 401000 ctrl r找到两处参考,都改401005 004011da e8 21feffff call 3.00401000
004011ec e8 0ffeffff call 3.00401000 修改这里的代码: 00401000 > /e9 b9080000 jmp 4.004018be
00401005 |68 ea9c4200 push 4.00429cea
0040100a -|e9 a82a0200 jmp 4.00423ab7 保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了. 不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,
结果跳到18be又dialogparam了 那么只好选择写保护了,用lordpe添加一个输入函数virutalprotect 在oep下面找片空地写代码, 最后跳回18be
004018c8 > b8 00004000 mov eax, 00400000
004018cd 0340 3c add eax, [eax 3c]
004018d0 8d78 28 lea edi, [eax 28]
004018d3 50 push eax
004018d4 54 push esp
004018d5 6a 04 push 4
004018d7 6a 04 push 4
004018d9 57 push edi
004018da ff15 1e304400 call [44301e] ; kernel32.virtualprotect
004018e0 58 pop eax
004018e1 b8 00100000 mov eax, 1000
004018e6 ab stosd
004018e7 ^ eb d5 jmp 004018be 把入口改成18c8,搞定收工.
0040fa96 ba 00004000 mov edx, slv_unpa.00400000
0040fa9b 03c2 add eax, edx
0040fa9d - ffe0 jmp eax 在jmp eax上f4 f7到oep: 004018be 68 ea1af500 push 0f51aea
004018c3 - e9 ef01b500 jmp 00f51ab7
004018c8 cc int3
004018c9 cc int3 jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的: bp virtualalloc, 不停的ctrl f9看到eax=00f50000停下: 0040fbb6 6a 40 push 40
0040fbb8 68 00100000 push 1000
0040fbbd 50 push eax
0040fbbe 6a 00 push 0
0040fbc0 ff13 call [ebx] ; kernel32.virtualalloc
0040fbc2 8bd0 mov edx, eax
0040fbc4 8bfa mov edi, edx
0040fbc6 8b4e fc mov ecx, [esi-4]
0040fbc9 f3:a4 rep movsb 往下走ecx=000151e9, 复制一个unpackme.exe到2.exe, 增加一个section header: vaddr=0x0022000
vsize=0x20000 加载2.exe在0040fbc2上f4把eax改成422000. 然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe
接着用imprec fixdump 生成 3.exe 一运行非法了, 点调试挂上od: 00422cca 8910 mov [eax], edx//eax=00140688
00422ccc e9 0d0e0000 jmp 00423ade 向上看全是屁股...啊不对, 全是花指令, 不过只有 eb, nop掉: 00422ca4 33c0 xor eax, eax
00422cac ac lodsb
00422cb1 8b1487 mov edx, [edi eax*4]
00422cb7 33c0 xor eax, eax
00422cbd ac lodsb
00422cc1 8b0487 mov eax, [edi eax*4]
00422cca 8910 mov [eax], edx
00422ccc e9 0d0e0000 jmp 00423ade 看样子只是一个虚拟机指令, 好像丢掉东西了. 校验是哪里来的?
想法一:getfilesize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.
想法二:在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?
联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header 加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问[400110]==1000
加载3.exe也中断了,[400110]==18be
原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口. 解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动. 401000 ctrl r找到两处参考,都改401005 004011da e8 21feffff call 3.00401000
004011ec e8 0ffeffff call 3.00401000 修改这里的代码: 00401000 > /e9 b9080000 jmp 4.004018be
00401005 |68 ea9c4200 push 4.00429cea
0040100a -|e9 a82a0200 jmp 4.00423ab7 保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了. 不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,
结果跳到18be又dialogparam了 那么只好选择写保护了,用lordpe添加一个输入函数virutalprotect 在oep下面找片空地写代码, 最后跳回18be
004018c8 > b8 00004000 mov eax, 00400000
004018cd 0340 3c add eax, [eax 3c]
004018d0 8d78 28 lea edi, [eax 28]
004018d3 50 push eax
004018d4 54 push esp
004018d5 6a 04 push 4
004018d7 6a 04 push 4
004018d9 57 push edi
004018da ff15 1e304400 call [44301e] ; kernel32.virtualprotect
004018e0 58 pop eax
004018e1 b8 00100000 mov eax, 1000
004018e6 ab stosd
004018e7 ^ eb d5 jmp 004018be 把入口改成18c8,搞定收工.
上一篇: PHP多字节编码漏洞小结