手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密
互联网 发布时间:2008-10-08 19:04:28 作者:佚名 
我要评论
我要评论【脱文动画】http://cnxhacker.net/donghua/crack/200607/245.html
【脱文标题】 手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,
【脱文动画】http://cnxhacker.net/donghua/crack/200607/245.html
【脱文标题】 手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC1.6f,Loadpe
【脱壳平台】 Win2K/XP
【软件名称】 IMCaster ICQ E-Marketer
【软件简介】 IMCaster ICQ E-Marketer是一个强大的ICQ即时信息查找工具。你可以根据不同的条件(如:性别、年龄、国家或者职业等等)搜索在线ICQ用户,向他们发送信息以提高你网站或企业的知名度。
【软件大小】 2.61M
【下载地址】 http://www.imcaster.com/Downloads/IMCastSetupEnt.exe 或 二哥推荐的教学篇里面下载
【加壳方式】 MoleBox 2.x.x -> Mole Studio [Overlay]
【保护方式】 MoleBox压缩壳
【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳内容】
首先Peid查壳,为MoleBox 2.x.x -> Mole Studio [Overlay],OD载入运行,无任何异常,判断其为压缩壳。
前面二哥的修复方法大家都看到了,继然IAT可以加密就可以IAT解密,实际是跳过。
一口气写OD脱壳脚本写到16篇后发现这篇IAT被加密了,只写个找OEP的脚本没意思,要写脚本首先得会脱这个壳。
脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)
在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。
IAT的起始地址是89000,大小B80
根据Imprec提示89110 处的指针被加密
就从这里入手,也可以随便找个加密指针处入手。
OD载入程序,命令行
Hw 489110
因为这个地址先前写入的地址是对的,然后程序将这个地址加密为Imprec不认识的东西,我们就要跟踪这个过程。
F9运行
004D1237 8B45 F8 mov eax,dword ptr ss:[ebp-8] ; imcast.00489110
004D123A 40 inc eax
004D123B 40 inc eax
004D123C 8945 F8 mov dword ptr ss:[ebp-8],eax
004D123F 0FB745 E2 movzx eax,word ptr ss:[ebp-1E]
004D1243 C1F8 08 sar eax,8
004D1246 0FB74D E2 movzx ecx,word ptr ss:[ebp-1E]
堆栈友好提示
0012FCD8 7FFDF000
0012FCDC 47D047D0
0012FCE0 47334733
0012FCE4 5EBC5EBC
0012FCE8 72BF72BF
继续3次F9,注意堆栈友好提示
004D13CE FF15 24804D00 call dword ptr ds:[; KERNEL32.GetProcAddress
004D13D4 8B4D F0 mov ecx,dword ptr ss:[ebp-10]
004D13D7 8901 mov dword ptr ds:[ecx],eax
004D13D9 EB 26 jmp short imcast.004D1401
004D13DB 8B55 F0 mov edx,dword ptr ss:[ebp-10]
004D13DE 8B02 mov eax,dword ptr ds:[edx]
004D13E0 25 FFFF0000 and eax,0FFFF
004D13E5 50 push eax
004D13E6 8B4D F4 mov ecx,dword ptr ss:[ebp-C]
004D13E9 51 push ecx
004D13EA FF15 24804D00 call dword ptr ds:[; KERNEL32.GetProcAddress
堆栈友好提示
0012FE2C 77E7ED4C KERNEL32.SetFilePointer //这个和EAX中是一样的,都是正确指针
0012FE30 6BC4B4AC MFC42.#1576
0012FE34 0049428A imcast.0049428A
0012FE38 004943FE ASCII "KERNEL32.dll"
0012FE3C 00489110 imcast.00489110
0012FE40 77E60000 KERNEL32.77E60000
0012FE44 00493294 imcast.00493294
现在我们
dd 489110 往上看到489100被加密了,呵呵,我说过可以随便找个加密指针处入手。
004D13D9 /EB 26 jmp short imcast.004D1401
004D1401 8B4D EC mov ecx,dword ptr ss:[ebp-14] ; imcast.004943FE
004D1404 51 push ecx
004D1405 8B55 F0 mov edx,dword ptr ss:[ebp-10]
004D1408 52 push edx
004D1409 E8 12050000 call imcast.004D1920 //如果单步过了这里,就Over了。显然它是个加密Call,NOP掉程序正常运行,进去看看。
******************************************
004D1920 55 push ebp
004D1921 8BEC mov ebp,esp
004D1923 83EC 10 sub esp,10
004D1926 C745 FC 00000000 mov dword ptr ss:[ebp-4],0
004D192D 833D 30F04D00 00 cmp dword ptr ds:[4DF030],0
004D1934 75 0A jnz short imcast.004D1940
004D1940 8B45 08 mov eax,dword ptr ss:[ebp 8] //注意这时EAX=77E7ED4C是正确指针
004D1943 8B08 mov ecx,dword ptr ds:[eax]
004D1945 51 push ecx
004D1946 8B0D 30F04D00 mov ecx,dword ptr ds:[4DF030]
004D194C E8 AB380000 call imcast.004D51FC
004D1951 8945 F8 mov dword ptr ss:[ebp-8],eax
004D1954 837D F8 00 cmp dword ptr ss:[ebp-8],0
004D1958 74 45 je short imcast.004D199F
004D195A 8D55 F0 lea edx,dword ptr ss:[ebp-10]
004D195D 52 push edx
004D195E 6A 04 push 4
004D1960 6A 04 push 4
004D1962 8B45 08 mov eax,dword ptr ss:[ebp 8]
004D1965 50 push eax
004D1966 FF15 70804D00 call dword ptr ds:[; KERNEL32.VirtualProtect
004D196C 85C0 test eax,eax
004D196E 75 0A jnz short imcast.004D197A
004D197A 8B4D 08 mov ecx,dword ptr ss:[ebp 8]
004D197D 8B55 F8 mov edx,dword ptr ss:[ebp-8]
004D1980 8B02 mov eax,dword ptr ds:[edx]
004D1982 8901 mov dword ptr ds:[ecx],eax //可恶这里; imcast.004D490E
EAX=004D490E dword ptr ds:[ecx] 是推算被加密的地址00489110,实际也是,看OD信息框就知道了。我们必需让EAX是正确的指针。我们看到004D1940 处EAX被赋值,而且当时的EAX是正确指针。
这就容易了
004D1940 8B45 08 mov eax,dword ptr ss:[ebp 8]
修改为
004D1940 8BC0 mov eax,eax ; KERNEL32.SetFilePointer
004D1942 90 nop
自给自足
004D1984 8D4D F4 lea ecx,dword ptr ss:[ebp-C]
004D1987 51 push ecx
004D1988 8B55 F0 mov edx,dword ptr ss:[ebp-10]
004D198B 52 push edx
004D198C 6A 04 push 4
004D198E 8B45 08 &n
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25
防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27
彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论