其實(shí)殼本身不要緊，問(wèn)題是vm里面有個(gè)校驗(yàn)。 sm同學(xué)手下留情，我勉強(qiáng)能搞一個(gè)運(yùn)行正常的，沒(méi)精力還原vm了。 在virutalfree的retn上f4, 直到[esp]是一個(gè)exe image內(nèi)的地址f7返回: 0040FA91 B8 BE180000 mov eax, 18BE
0040FA96 BA 00004000 mov edx, slv_unpa.00400000
0040FA9B 03C2 add eax, edx
0040FA9D - FFE0 jmp eax 在jmp eax上f4 f7到oep: 004018BE 68 EA1AF500 push 0F51AEA
004018C3 - E9 EF01B500 jmp 00F51AB7
004018C8 CC int3
004018C9 CC int3 jmp到vm了, 不過(guò)這段內(nèi)存不可dump, ctrl f2再來(lái)看哪里分配的: bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下: 0040FBB6 6A 40 push 40
0040FBB8 68 00100000 push 1000
0040FBBD 50 push eax
0040FBBE 6A 00 push 0
0040FBC0 FF13 call [ebx] ; kernel32.VirtualAlloc
0040FBC2 8BD0 mov edx, eax
0040FBC4 8BFA mov edi, edx
0040FBC6 8B4E FC mov ecx, [esi-4]
0040FBC9 F3:A4 rep movsb 往下走ecx=000151E9, 復(fù)制一個(gè)unpackme.exe到2.exe, 增加一個(gè)section header: vaddr=0x0022000
vsize=0x20000 加載2.exe在0040FBC2上f4把eax改成422000. 然后按上面到方法走到oep, 用lordpe dump一份(ollydump我從來(lái)不成功) dumped.exe
接著用imprec fixdump 生成 3.exe 一運(yùn)行非法了, 點(diǎn)調(diào)試掛上od: 00422CCA 8910 mov [eax], edx//eax=00140688
00422CCC E9 0D0E0000 jmp 00423ADE 向上看全是屁股...啊不對(duì), 全是花指令, 不過(guò)只有 EB, nop掉: 00422CA4 33C0 xor eax, eax
00422CAC AC lodsb
00422CB1 8B1487 mov edx, [edi eax*4]
00422CB7 33C0 xor eax, eax
00422CBD AC lodsb
00422CC1 8B0487 mov eax, [edi eax*4]
00422CCA 8910 mov [eax], edx
00422CCC E9 0D0E0000 jmp 00423ADE 看樣子只是一個(gè)虛擬機(jī)指令, 好像丟掉東西了. 校驗(yàn)是哪里來(lái)的?
想法一：GetFileSize,估計(jì)sm同學(xué)不屑使用,懷著僥幸試一下果然沒(méi)有用.
想法二：在某處設(shè)置了標(biāo)記,前面virtualalloc都被釋放掉了,vm段我們也dump了,能在哪呢?
聯(lián)想到sm同學(xué)一貫喜歡在pe header里面插東西, 就看看pe header 加載2.exe在oep的時(shí)候按alt m在pe header上f2果然中斷了訪(fǎng)問(wèn)[400110]==1000
加載3.exe也中斷了,[400110]==18BE
原來(lái)校驗(yàn)了entrypoint, 估計(jì)后面當(dāng)作常數(shù)運(yùn)算了, 因?yàn)樗衚bys都會(huì)把1000作為入口. 解決方案有兩種, 一種寫(xiě)一段入口代碼把入口改為1000,另一種是挪動(dòng),因?yàn)閷?xiě)保護(hù)不方便,我選擇挪動(dòng). 401000 ctrl r找到兩處參考,都改401005 004011DA E8 21FEFFFF call 3.00401000
004011EC E8 0FFEFFFF call 3.00401000 修改這里的代碼: 00401000 > /E9 B9080000 jmp 4.004018BE
00401005 |68 EA9C4200 push 4.00429CEA
0040100A -|E9 A82A0200 jmp 4.00423AB7 保存到文件,最后lordpe修改1000為入口,保存4.exe,嗯出圖片了. 不過(guò)點(diǎn)了出來(lái)she之后不會(huì)關(guān)掉自己反而彈出自己, 估計(jì)是虛擬機(jī)里有調(diào)用1000退出,
結(jié)果跳到18be又DialogParam了 那么只好選擇寫(xiě)保護(hù)了,用lordpe添加一個(gè)輸入函數(shù)VirutalProtect 在oep下面找片空地寫(xiě)代碼, 最后跳回18be
004018C8 > B8 00004000 mov eax, 00400000
004018CD 0340 3C add eax, [eax 3C]
004018D0 8D78 28 lea edi, [eax 28]
004018D3 50 push eax
004018D4 54 push esp
004018D5 6A 04 push 4
004018D7 6A 04 push 4
004018D9 57 push edi
004018DA FF15 1E304400 call [44301E] ; kernel32.VirtualProtect
004018E0 58 pop eax
004018E1 B8 00100000 mov eax, 1000
004018E6 AB stosd
004018E7 ^ EB D5 jmp 004018BE 把入口改成18c8,搞定收工.

最新評(píng)論