這是一篇Armadillo加殼軟件Getright 5.01的脫殼譯文，我是參照Ricardo Narvaja的“Getright 5 脫殼和重建IAT”的文章以及Bighead[DFCG][YCG]的譯文,一邊實(shí)踐一邊再次翻譯的。感謝Ricardo Narvaja和Bighead[DFCG][YCG]。
Armadillo for Dummies: Getright 5 手動(dòng)脫殼和重建 IAT (第一部分)
因?yàn)锳rmadillo實(shí)在是太復(fù)雜了,以至于人們已經(jīng)不得不沿用下面這個(gè)手動(dòng)的方法去脫殼armadillo,這不是我的過(guò)錯(cuò),只是因?yàn)閍rmadillo實(shí)在是太難脫殼了,然后我將會(huì)在這個(gè)文檔中一步一步地去完成脫殼,同時(shí)配上很多圖片,只是想讓它變得盡量容易理解.我并不想寫一個(gè)10兆大的參考教程,所以我把這個(gè)文檔分成兩部分.第一部分主要講如何轉(zhuǎn)儲(chǔ)(dump)armadillo保護(hù)的程序,然后我會(huì)在第二部分中提及一些以前在其它任何教程中都未曾見(jiàn)過(guò)的東西,那就是輸入表(import table)的redirection和rebuilding.
在我們開(kāi)始之前,我必須聲明這篇參考教程只在Windows XP上測(cè)試.請(qǐng)不要在 windows98或者2000中嘗試.原因是只有Windows xp才擁有必要的API,能夠把子進(jìn)程(child)從它的父進(jìn)程father那兒脫鉤下來(lái).
這次練習(xí),我們找到的自愿者是Getright 5 final. Crusader曾經(jīng)寫過(guò)關(guān)于這個(gè)軟件的某一個(gè)版本的參考教程,但是這篇參考教程在很多方面都不同于crusader寫的那篇.
crusader寫的那篇參考教程(原版)----附(1)
crusader寫的那篇參考教程(FTBirthday翻譯版本)----附(2)
你可以從以下連接下載GetRight 5.不管怎樣我在我的ftp中保存了一個(gè)副本,所以你可以從那兒下載,就不用去管它在網(wǎng)上被放在哪兒了.
http://www.getright.com/
抓起你的鼠標(biāo),安裝好Getright然后準(zhǔn)備作戰(zhàn).Armadillo將會(huì)變得軟弱無(wú)力.
如何脫殼(UNPACK)以及轉(zhuǎn)儲(chǔ)(DUMP)Getright 5
在OLLYBG中載入GETRIGHT.exe然后整裝待發(fā).我將按照以下的步驟,很容易記住的,你可以在其它任何armadillo保護(hù)軟件中按部就班.
第一步:重新設(shè)置檢測(cè)ISDEBUGGERPRESENT API的字節(jié)
我將要解釋如何在任何電腦中去尋找這個(gè)字節(jié).
首先從這個(gè)連接下載命令行插件:
http://dd.x-eye.net/file/cmdbar10802.zip
解壓它然后復(fù)制dll到OLLYDBG文件夾.只要你運(yùn)行Ollydbg你將會(huì)在調(diào)試窗口的左下角看到一個(gè)白色的輸入框,在那兒你可以鍵入很多命令.讓我們鍵入:
Bp IsDebuggerPresent
我們將要使用BP而不是BPX,因?yàn)锽P可以直接在API上下斷點(diǎn),那正是我們所需要的.
我們必須準(zhǔn)確地鍵入Bp IsDebuggerPresent.記住我們必須保證大小寫的順序,因?yàn)槿绻覀冩I入了任何不同于以上形式的命令,那么一個(gè)錯(cuò)誤提示(UNKNOWN COMMAND)將在命令行的右邊產(chǎn)生.所以正確地鍵入BP IsDebuggerPresent然后按回車. 如果在按回車后沒(méi)有錯(cuò)誤提示出現(xiàn),那就說(shuō)明這個(gè)BP已經(jīng)生效.
現(xiàn)在按F9運(yùn)行程序,它將會(huì)中斷在API IsDebuggerPresent

在這張圖中我們可以看到OllyDBG中斷在API IsDebuggerPresent(紅色), 然后按F7步進(jìn)到第三行(白色)
77E52749 0FB640 02 MOVZX EAX,BYTE PTR DS:[EAX 2]
一旦到達(dá)那兒,看一下disassembly,在那兒我們可以看到如下圖的內(nèi)容:

這兒我們可以看到在我的機(jī)器中偏移是7ffdf002,包含了值01.這個(gè)地址在其它機(jī)器中可能會(huì)不同. 值01意味著調(diào)試器被檢測(cè)到了,所以寫下這個(gè)地址,在任何時(shí)候我們?cè)趏llydbg中運(yùn)行程序,都必須把它修改為00,從而避免被packer檢測(cè)到.記住在ollydbg中運(yùn)行或重運(yùn)行程序的任何時(shí)候修改此值為00.
我們將以重啟ollydbg (ctrl F2)來(lái)結(jié)束第一步,到轉(zhuǎn)儲(chǔ)窗口(DUMP)單擊右鍵選擇"前往 表達(dá)" 7ffdf002或者其它任何先前你記下的地址,然后把它的值從01修改為00.


把它改為00.

第二步:BP WAITFORDEBUGEVENT
這一步并非必要,但卻是一個(gè)好的選擇,當(dāng)它停止時(shí)在轉(zhuǎn)儲(chǔ)(DUMP)區(qū)看到report.讓我們看看該怎樣做.
首先我們需要在命令行輸入BP WaitForDebugEvent,和我們輸入IsDebuggerPresent的方法是相同的.
現(xiàn)在運(yùn)行它,當(dāng)它停下時(shí)我們可以在堆棧窗口(Stack window)看到關(guān)于這個(gè)API的所有參數(shù)信息.

看一下第二行.那兒我們可以看到它將在哪兒顯示report,所以到轉(zhuǎn)儲(chǔ)窗口(dump window), 右鍵選擇 "前往 表達(dá)"= 12EFF8.注意這個(gè)值在一些機(jī)器上可能會(huì)不同,所以前往你的機(jī)器顯示的值.

我們?cè)谏厦娴膱D中看到的是我們將要稱之為"API report"的東西.主程序(讓我們把它稱為Father)通過(guò)那里得知secondary program(讓我們把它稱為son)發(fā)生了什么.
現(xiàn)在我們可以很容易地通過(guò)在命令行輸入BC WaitForDebugEvent來(lái)刪除這個(gè)斷點(diǎn).
所有的操作都是為了在轉(zhuǎn)儲(chǔ)窗口(dump window)看到report,在這個(gè)report中我們可以看到入口點(diǎn)OEP(entry point).
第三步: BP WRITEPROCESSMEMORY

像圖中一樣設(shè)置這個(gè)斷點(diǎn)然后點(diǎn)擊"運(yùn)行".也許你會(huì)在一些例外(exceptions)處停下,但是你可以通過(guò)按SHIFT F9很容易地走過(guò).一旦我們停在了WriteProcessMemory API不要做任何事情,看下圖:
正如我們?cè)谙聢D中看到的, father將要復(fù)制給son的第一個(gè)塊(block)的所有信息,都可以在堆棧窗口(STACK window)看到.

FTBirthday:由經(jīng)驗(yàn),我覺(jué)得很難走到這一步,但是我知道是在005F949E處call了WriteProcessMemory如圖:

我通過(guò)一遍遍試驗(yàn),得出了最好的方法:等到前兩次在別處call了WriteProcessMemory后,左手一直按住shift, 右手連續(xù)按F9大約31次,就可以順利到達(dá).

最新評(píng)論