手工逐步脱UPX壳DLL教程
【作者声明】:只是感兴趣,没有其他目标。失误之处敬请诸位大侠见教!
【调试环境】:WinXP、Ollydbg1.10C、WinHex、LordPE、UPXAngela、ImportREC
—————————————————————————————————
【脱壳过程】:
实在这篇东东只是《加密与解密》第2版中关于UPX脱壳的Ollydbg脱壳翻版。
Ollydbg1.10C加UPXAngela脱UPX的DLL非常方便呀,呵呵。
—————————————————————————————————
一、得到重定位表RVA和OEP
代码:--------------------------------------------------------------------------------
003B8100 807C24 08 01 cmp byte ptr ss:[esp+8],1//进入OD后停在这
003B8105 0F85 7D010000 jnz EdrLib.003B8288
--------------------------------------------------------------------------------
不用跟踪,Ctrl+S 在以后位置下搜刮命令序列:
代码:--------------------------------------------------------------------------------
xchg ah,al
rol eax,10
xchg ah,al
add eax,esi
--------------------------------------------------------------------------------
找到在003B826D处,在其上mov al,byte ptr ds:[edi]的003B825E处下断,F9运行,断下
代码:--------------------------------------------------------------------------------
003B825E 8A07 mov al,byte ptr ds:[edi]
//EDI=003B7318-以后基址003B0000=00007318 ★ 这就是重定位表的RVA
003B8260 47 inc edi
003B8261 09C0 or eax,eax
003B8263 74 22 je short EdrLib.003B8287
//重定位数据处理完毕则跳转
003B8265 3C EF cmp al,0EF
003B8267 77 11 ja short EdrLib.003B827A
003B8269 01C3 add ebx,eax
003B826B 8B03 mov eax,dword ptr ds:[ebx]
003B826D 86C4 xchg ah,al//找到这里
003B826F C1C0 10 rol eax,10
003B8272 86C4 xchg ah,al
003B8274 01F0 add eax,esi
003B8276 8903 mov dword ptr ds:[ebx],eax
003B8278 EB E2 jmp short EdrLib.003B825C
003B827A 24 0F and al,0F
003B827C C1E0 10 shl eax,10
003B827F 66:8B07 mov ax,word ptr ds:[edi]
003B8282 83C7 02 add edi,2
003B8285 EB E2 jmp short EdrLib.003B8269
--------------------------------------------------------------------------------
在003B8287处下断,F9运行,断下,重定位数据处理完毕
当我们在003B8287处停止下来时,EDI=003B74EA,就是重定位表竣事的地址
代码:--------------------------------------------------------------------------------
003B8287 61 popad
//此时EDI=003B74EA ★
003B8288 E9 3C8FFFFF jmp EdrLib.003B11C9
//飞向灼烁之点巅!
--------------------------------------------------------------------------------
代码:--------------------------------------------------------------------------------
003B11C9 55 push ebp//OEP ★
003B11CA 8BEC mov ebp,esp
003B11CC 53 push ebx
003B11CD 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
003B11D0 56 push esi
003B11D1 8B75 0C mov esi,dword ptr ss:[ebp+C]
003B11D4 57 push edi
003B11D5 8B7D 10 mov edi,dword ptr ss:[ebp+10]
003B11D8 85F6 test esi,esi
003B11DA 75 09 jnz short EdrLib.003B11E5
--------------------------------------------------------------------------------
用LordPE选中Ollydbg的loaddll.exe的历程,在上面的列表里选择EdrLib.dll,然后完整脱壳,得到dumped.dll。
—————————————————————————————————
二、输出表
任意从步伐找一个API调用,如:
代码:--------------------------------------------------------------------------------
003B10FD FF15 20403B00 call dword ptr ds:[3B4020]; kernel32.GetVersion
--------------------------------------------------------------------------------
在转存中跟随3B4020,上下看到许多函数地址,很显着的可以找到IAT开始和竣事的地址:
代码:--------------------------------------------------------------------------------
003B3FF0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
003B4000 1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77 .Q.w.:.w>..w...w
003B40B0 CE 7C E5 77 05 74 E5 77 F9 81 E5 77 EB 41 E4 77 .|.w.t.w...w.A.w
003B40C0 66 C8 E5 77 3E 18 F6 77 00 00 00 00 00 00 00 00 f..w>..w........
--------------------------------------------------------------------------------
开始地址=003B4000
竣事地址=003B40C9
运行ImportREC,注意:去掉“使用来自磁盘的PE部首”的选项!
选中Ollydbg的loaddll.exe的历程,然后点“选取DLL”,选择EdrLib.dll,填入RVA=00004000、大小=000000C8 ,点“Get Import”,得到输出表。改OEP=000011C9,FixDump!
—————————————————————————————————
三、重定位表修复 + PE修正
UPX破坏了重定位表。在第一步我们曾经得到重定位表的地址了,用WinHex翻开dumped_.dll,复制4000-40C9之间的16进制数值,另存为fly.bin
运行 看雪 教师写的辅助修复UPX加壳DLL重定位表的东西UPXAngela.exe,翻开fly.bin,很快的提示pediy.bin文件创立成功!
从dumped_.dll找块空白代码,如自UPX1段的6000处开始。够用就行,pediy.bin中的数据长度为3B0。
用WinHex把pediy.bin中的16进制数值全部复制、写入到dumped_.dll的6000处。
用LordPE修正dumped_.dll的重定位表RVA=00006000、大小=000003B0,保存之。
再用LordPE修正dumped_.dll的基址为003B0000,OK,脱壳完成啦。
http://bbs.pediy.com/upload/files/1085925706.rar
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
