用OllyDbg脱ASPR 1.3x的壳

韩冰

作者：LaBBa 翻译：gmh001 软件： System Cleaner 4.89 Build 110 Url : http://www.allerasoft.com/products/systemcleaner/ 前言 / h' {$ C, q7 V2 I. p================== , r4 @& Q8 s3 Y7 K- n; x& pＯＫ，贴上来！！这是我第三次写这篇破解文章，第一次正在写的时候机死机了，第二次停电了。 - s0 J; v) N( C2 z; K: J8 Z" F（呵呵，运气有点背啊…） 现在… % K" R- H7 M, `4 O8 Z, L # j; y1 _& ]# a( O% ~这篇文章讲述如何真正快速简单的脱掉ASPR 1.3x的壳，并且找出被抽掉的字节… 4 ^0 Z. k, P6 J( r& a并且不使用SoftIce、IceDump和 /tracex！用什么？使用OllyDbg ！ 所需工具 - r4 [) k0 A8 g; U) W6 f$ L================ 8 S, `5 u2 i( u0 S; S2 {9 s1. OllyDbg 1.09b2 or newer % R) B Q/ J- c5 v2. ProcDump(G-rom)/Pe-edit(y0da) 3. imprec 1.3 (MackT/UCF)(protools.cjb.net) ( O o9 A% b u7 \5 G4. HVIEW / Hex Editor % O% |7 o/ i, J: |+ R 脱壳步骤 % m/ a% B/ M4 ]/ O======================= ' G+ j% F8 H4 G1 `7 w7 e1. 找到 OEP＋从内存中抓取程序 2. 找到抽掉的字节 3. 重建IAT 4. 修正OEP 5. 结束 ' m7 _" S3 `9 @4 i1 P: ]==================================== 第一步—找到 OEP＋从内存中抓取程序 ==================================== 1. 运行Olly并载入应用程序（如果有提示就按 YES！） 2. 现在按Ｆ９就会在这儿中断： $ @6 W; o W, V( O 8 f4 r. H4 K. A$ F! n4 e+ l. W1 P 017E3414 3100 XOR DWORD PTR DS:[EAX],EAX 〈－我们在这儿中断！ ( O# I' }% c! E4 H& s 017E3416 EB 01 JMP SHORT 017E3419 ' k* f. v, N3 U4 ~; u/ ^: s2 t 017E3418 68 648F0500 PUSH 58F64 6 w$ y* C% S6 H5 f- p- f为什么Olly会中断？我们不用设断点吗？！ 呵呵，Olly在每次进入一个新模块时都会中断…我们将继续使用它！！ / k k2 }, f6 X 3. 按Shift+F9，这样Olly会继续运行直到遇到一个新模块。 ! b$ `2 i: a: F8 Y6 L, h( H, @' U& _: W* b4. 按Shift+F9２６次后我们将到达这里： * A' p8 U5 m; J% y! y7 W2 q5 @ z 017E2D7A 3100 XOR DWORD PTR DS:[EAX],EAX〈－我们停在这里 9 D; p+ Y3 r* B$ J3 J+ a; f; c 017E2D7C 64:8F05 00000000 POP DWORD PTR FS:[0] 〈在这里设断点 017E2D83 58 POP EAX ; ]3 B1 ^% ~* b* ~3 ^( T 017E2D84 833D 806D7E01 00 CMP DWORD PTR DS:[17E6D80],0 017E2D8B 74 14 JE SHORT 017E2DA1 017E2D8D 6A 0C PUSH 0C 017E2D8F B9 806D7E01 MOV ECX,17E6D80 017E2D94 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 5 O: t% G3 `% ~ e, `) } z v 017E2D97 BA 04000000 MOV EDX,4 % |8 b8 v& {7 P1 p1 _- {1 |) Z 017E2D9C E8 EFE0FFFF CALL 017E0E90 017E2DA1 FF75 FC PUSH DWORD PTR SS:[EBP-4] 017E2DA4 FF75 F8 PUSH DWORD PTR SS:[EBP-8] 017E2DA7 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 7 B, \" w5 @: {% o1 m6 }# k+ J' z. O 017E2DAA 8338 00 CMP DWORD PTR DS:[EAX],0 017E2DAD 74 02 JE SHORT 017E2DB1 ' u: W+ ^+ d. I6 }: b 017E2DAF FF30 PUSH DWORD PTR DS:[EAX] ( Z' l. A% ]6 ~) A# r K. I5 h 017E2DB1 FF75 F0 PUSH DWORD PTR SS:[EBP-10] 017E2DB4 FF75 EC PUSH DWORD PTR SS:[EBP-14] 017E2DB7 C3 RETN # } C" S- ^7 S; f, Z 如果我们再按一次Shift+F9，软件就运行了…千万别这么做！！ 5. 现在我们向下移光标，到这里： 017E2D7C 64:8F05 00000000 POP DWORD PTR FS:[0] & V8 f1 o7 H& A9 } % v) c% N. i3 @) d7 x按 F2（设断点）。 : Y; w4 M6 w) B; x再按Shift+F9，Olly就会在断点中断。 + _) w$ }/ t7 s! y0 O, t 3 \4 b- j: F9 V2 Y6. 现在按F8单步追踪，执行RETN将会到达这里： 017F4EC8 E9 080A0000 JMP 017F58D5 〈－在这里 . R; @' B* i1 W& p9 ^1 V" W9 o 按F8执行这个跳转… 0 ?# L5 @5 t' R现在我们来到这里： 017F58D5 D3DE RCR ESI,CL 〈－停在这里 017F58D7 B9 7D966271 MOV ECX,7162967D 9 s5 A# {8 V0 b8 y 017F58DC 81C1 38F10A23 ADD ECX,230AF138 ' \5 C) X: w- b4 w8 u# @ | 017F58E2 D3EE SHR ESI,CL 017F58E4 BA 9ECC7376 MOV EDX,7673CC9E 017F58E9 81EA C56EFFD4 SUB EDX,D4FF6EC5 + [# E5 N. L4 `2 i. c0 P1 h 017F58EF 81F2 B7104902 XOR EDX,24910B7 6 J2 ~* C! T3 P2 Y 017F58F5 C1CA 94 ROR EDX,94 . i4 J: P4 j. I5 d& M 017F58F8 8BF2 MOV ESI,EDX % }3 ? E% P6 k+ e D& Z5 M7 I 017F58FA 81EE 87D851D2 SUB ESI,D251D887 1 Q: ]! L/ M p 017F5900 C1CE B0 ROR ESI,0B0 017F5903 8BC6 MOV EAX,ESI % ~) u; a" Y3 V% k 017F5905 C1C8 28 ROR EAX,28 . i, O! C. L! s" A+ f' f 017F5908 53 PUSH EBX 017F5909 5E POP ESI : _! e3 I! D' w$ c- u+ X! J 017F590A 81C5 974FAF73 ADD EBP,73AF4F97 017F5910 BA 048A9178 MOV EDX,78918A04 . E1 J" k; L# f1 E* o/ _' a. a# Z( J 017F5915 F7D2 NOT EDX 017F5917 F7D2 NOT EDX 017F5919 81C2 FC756E87 ADD EDX,876E75FC 017F591F 8BDA MOV EBX,EDX , }9 l! r0 C/ e 017F5921 41 INC ECX------------------------- 8 |* M- O& z0 e3 G" F% i8 h 017F5922 8BD9 MOV EBX,ECX | 017F5924 D1C3 ROL EBX,1 | a Realy Long ' D9 ~7 F8 o7 g# m# O 017F5926 81F3 A38FD7AC XOR EBX,ACD78FA3 | Loop 017F592C 3BD8 CMP EBX,EAX | 017F592E ^0F85 EDFFFFFF JNZ 017F5921-------------------- 017F5934 8BC1 MOV EAX,ECX 〈〈－在这里设断点！！ 7 a$ C& d1 ]* e 1 g3 b8 U1 W9 |% B" _6 t好了，我们可以不用通过按 F8 来追踪整个循环！！我们在下面的指令上设一个断点： 017F5934 8BC1 MOV EAX,ECX : D! l& V5 m, t5 N% K; C: I设置断点后（F2），按F9（运行），将会在断点上停下来。 q; T4 K, B6 A7 w' {7. 为什么？？总是用F8 / F7追踪？？！！ 7 \! J* X0 o W9 a, u. `好吧…不！！ Olly里有一个很好的功能：调用命令行。 从菜单里选择：Plugins->Command line->Command line 9 w$ o+ k' n! i% o$ [- s 现在我们将写一个条件追踪命令！ YES ! Olly有一个追踪命令！它调用－TC－条件追踪 5 \& Y1 X$ d; a! ~它将会在条件表达式为真时中断！ + P* k4 y8 L6 u0 L3 m 这样…在文本框里写入：TC EIP<900000 按Enter键。 在窗口的右下会出现：“正在追踪” 我的机子慢，花了大约８分钟(350MHz) " W5 z( h- i2 S& Y2 w" T在另一台较快的机子上花了２分钟多一点(900MHz Celeron) + y2 U0 Y+ R. n( P1 _& k; Y w) `0 t! _* ], E" r' F% o1 ]- O8. 追踪完成后中断在这里： + U, P3 |6 e( R 0057EA5B E8 DB E8 0057EA5C 00 DB 00 ! f$ G4 W) h, D3 U9 u& X 0057EA5D 8A DB 8A ) v4 l9 i2 {) v& s8 Q# b3 E 0057EA5E E8 DB E8 0057EA5F FF DB FF 嘿！！ i Dont See Shit !!这是为什么？！ + h! s, ^( ?; d% L7 c( _噢，Olly没有分析这段代码，实际上我们并没有真提停在OEP上！ OEP=57EA5B $ j( H i' e( a 9. 重点！！ 在OEP处看盾EAX值（CPU窗口的右上面） - G. S) `. U# G8 z& ^( ^7 wEAX=57E318 4 \% O/ z0 C& w8 M5 O* L% ~! ^+ K记住它，以后会用到它的。 4 R8 @1 Q1 U% F6 R+ i/ q" z 10. 打开 ProcDump/Pe-Edit，完全抓取进程。 0 f6 m* V# z5 d) _# B( F 9 f3 ~9 }8 n' Z4 f" ?=================================== " U3 R$ S) E0 H1 c) s第三步－找出抽掉的字节＝ =================================== * K) N' D9 [2 v找出抽掉的字节有三种方法： 4 d! a7 `1 G( }! Z. t 1. ASPR会执行抽掉的字节，象下面这样跳转到OEP： - K9 g/ R2 g2 I0 ~3 E' O+ |' S2 I Stolen_Bytes_1 Stolen_Bytes_2 Stolen_Bytes_3 6 g6 _. T+ o) N: V ..... , m) `( ^# Z; s6 @ E ..... PUSH_THE_ADDRESS_OF_OEP RET_TO_OEP ; M( J( n: T. ~ h0 Y( P4 r1 l 2. ASPR首先保存抽掉的字节，然后从OEP处还原，再象下面这样跳转到OEP： / ^( k7 M1 p0 V ~" |1 u Stolen_Bytes_1 $ `3 ] L% V/ ^4 v, _! D Stolen_Bytes_2 4 X6 ]- T) b+ E" Y Stolen_Bytes_3 6 D! P8 J7 C: \7 i1 J) h1 K6 } PUSH EBX PUSH ESI PUSH EDI ...... 1 O4 W: V, ]' V- h( X$ J ...... 7 Z4 y$ {3 y6 x/ `! O% |; L" L: A ...... REPZ STOSB 〈－还原字节 # w' l% c- S( `6 ~1 g POPFD POPAD 9 D$ ]5 j1 O$ I5 l! r JMP_TO_OEP 3. 没有抽掉的字节时，只执行PopAD指令和跳转到OEP。 - n' Q( E9 T2 j) f: h9 h, [$ A9 X0 _* e; w 那么我们怎么处理它呢？ ; \& e$ D3 @7 Z( j看看ASPR在跳转到OEP前的最后几步是什么。这需要查看跟踪日记。 : u$ k8 y% Z- ~ |; h太好了！Olly可以使用"Run Trace"功能来得到一个 跟踪日记。 这样…选择菜单： View->Run trace ( Z; F6 k& ^. M. h: K- [! J% p现在我们看见一个新窗口…跳转到最后一行的前一行，你会看到CPU窗口也变为同样的地址，象下面这样： 017F5779 F3:AA REP STOS BYTE PTR ES:[EDI] 7 M: J4 A7 K/ |$ J/ M/ c 017F577B 9D POPFD " s) ?* m. E$ u2 V 017F577C 61 POPAD 6 Y8 `/ V0 k6 ?" C( g; z 017F577D -E9 D992D8FE JMP SYSTEMCL.0057EA5B 〈－OEP的地址 % y; h' U0 x: T! V3 n( a0 `/ W 我们用第二种方法对付它！！ 上面的内容我是在 winXP下发现的，不是 win98：: 在CPU窗口里按 Ctrl+S（搜索命令的次序） 写入下面的： * T& R: l7 V2 z' j$ Z( c PUSH EBX i- h8 E/ L5 y8 p0 X/ L- k1 _ PUSH ESI PUSH EDI H; e- ?; u9 Q" W, U8 p- C6 K" ?( d& @你会发现： 01029227 0055 8B ADD BYTE PTR SS:[EBP-75],DL 0102922A EC IN AL,DX ; I/O命令 9 e C9 ]) l$ Y% g" ]: h& Y# K* i2 [ 0102922B 83EC 54 SUB ESP,54 + n& Y3 \* b" s3 i, [; k8 M 0102922E 53 PUSH EBX # {' R s" E, }9 S) v9 {0 @6 M 0102922F 56 PUSH ESI * U0 {* J9 w9 S 01029230 57 PUSH EDI + h" {' j3 y3 y0 g# N 01029231 6A 11 PUSH 11 ; O9 ?3 M/ }, J0 B) d+ h3 j# `. |6 {1 i忽略 "00"，你会找到抽掉的字节：55,8b,ec,83,ec,54 记下它们，以后会有用的… T5 _3 f" p% g& R" P* L关闭OLLY… # c. o& v [& L- M5 r' F, Q8 m目前是不需要它啦… / u& Z1 ^6 ?" h. w. q2 B9 H0 P ============================= 第三步－重建IAT＝ & L# e& I4 L+ ^9 F: g6 X ~============================= . ^, \! K' N) }/ N% O+ c5 M: G 1. 首先运行软件，等候它被载入。 7 Y9 i* o% O& p& ]; @ Z2. 运行Imprec，从列表中选择进程。 3. 按"IAT AutoSearch" : H) {5 q( `1 s5 Q4. 把大小从"BC"修改为1000（BC太小了！！） 5. 按"Get Imports" 7 r! i6 P7 L2 }6. 按"Show Invalid" 7. 在显示无效的项目上右击鼠标，选择"Trace level 1" . W( R* H r7 p2 ?8 a) X8. 再次按"Show Invalid"…现在我们应该得到下面的东西： $ o( N0 n5 u) B# a( B $ b" t) L6 {$ q$ ^ （从保存的树中剪切） % C6 h3 g% h; C0 R4 m& U FThunk: 0019E258 NbFunc: 00000400 ; _$ H$ u& N, Z$ D0 S 1 0019E258 kernel32.dll 00D6 DeleteCriticalSection 1 0019E25C kernel32.dll 0228 LeaveCriticalSection ................ 省略－省略 ................ 1 0019E2A4 kernel32.dll 01D1 GetThreadLocale 1 0019E2A8 kernel32.dll 01B9 GetStartupInfoA / H$ {5 s2 \% n. _1 p* x6 T: | 0 0019E2AC ? 0000 017E0F2C <-- good $ o: z7 p/ D' j% \ 0 0019E2B0 ? 0000 017E139C <-- good : y& Y: U+ @3 ?- j; V/ k2 A 1 0019E2B4 kernel32.dll 018B GetModuleFileNameA ( N* p, D5 W5 `1 x/ Z/ |" k; t 1 0019E2B8 kernel32.dll 0183 GetLocaleInfoA - p- O7 D, @* R6 X6 Z 1 0019E2BC kernel32.dll 0181 GetLastError 1 0019E2C0 kernel32.dll 0158 GetCurrentDirectoryA # v6 X5 S' }: o* I 0 0019E2C4 ? 0000 017E1408 <-- good 5 A9 Z9 Z* n8 q 1 0019E2C8 kernel32.dll 0133 FreeLibrary ' a6 p3 l, \: o/ f: j' f 1 0019E2CC kernel32.dll 011C FindFirstFileA .................. 省略－省略 2 }' x9 l: |' I .................. 3 P- Y; }- v' z9 ] 1 0019E314 kernel32.dll 00A0 CloseHandle 0 0019E318 ? 0000 0255A00E <-- BAD & o8 U$ Z& G- H. `4 d9 m4 Q9 O! z 1 0019E31C user32.dll 0112 GetKeyboardType 1 0019E320 user32.dll 019F LoadStringA 1 0019E324 user32.dll 01AD MessageBoxA * j. ]* u1 h1 a 1 0019E328 user32.dll 0026 CharNextA . S' q# @; m8 t: I: U. }- V+ E 0 0019E32C ? 0000 70F7D832 <-- BAD 1 ]/ I% R0 L' c- j 1 0019E330 advapi32.dll 00F7 RegQueryvalueExA 4 R) k. K9 H$ ~9 p, g 1 0019E334 advapi32.dll 00EF RegOpenKeyExA 1 0019E338 advapi32.dll 00D8 RegCloseKey 0 0019E33C ? 0000 F37514C2 <-- BAD 1 0019E340 oleaut32.dll 0006 SysFreeString 1 0019E344 oleaut32.dll 0005 SysReAllocStringLen 1 0019E348 oleaut32.dll 0004 SysAllocStringLen * ~' [% s% N, S% }4 k 0 0019E34C ? 0000 4007F56E <-- BAD 1 J4 @# L9 m' a; Q9 s G 1 0019E350 kernel32.dll 0307 TlsSetvalue 1 0019E354 kernel32.dll 0306 TlsGetvalue 7 b( ?/ Y. ?8 L 1 0019E358 kernel32.dll 01E6 GlobalAlloc 0 0019E35C ? 0000 017E139C <-- good 0 0019E360 ? 0000 BF57C0D8 <-- BAD ....................... 8 O+ d( M% H' q/ B# k% V3 K 省略－省略 ....................... 5 T+ k" t) t" S! l* @0 F: V " p% `/ ?' h+ a" Z% e* z好了，我们继续重复这样做… - U) P9 t- v3 V/ p; ?1 R0 _! H我们需要手工选择所有坏地址（不在压缩代码内），然后在它们上面右击鼠标，从菜单里选择 "Cut Thunk(s)"。 观察窗口在最下…那儿有好的Thunk(s)… 现在我们需要修正这些好字节…你可能从fraviamb.cjb.net下载过一些插件 或者看我其他关于如何重建的文章（New2Cracking.cjb.net或者Fraviamb.cjb.net） 这是我修正的： ! o) S6 R4 j- \4 K" e4 G 0019E2AC-> 017E0F2C ->GetProcAddress + b) T9 ^$ F: x' |3 o# o' N1 i, A B 0019E2B0-> 017E139C ->GetModuleHandleA # G$ e, X/ j/ \/ l" o 0019E2C4-> 017E1408 ->GetCommandLineA 0019E35C-> 017E139C ->GetModuleHandleA 7 y* Z# X. }+ C- i. \: _0 w3 l 0019E428-> 017E1420 ->LockResource ' }# @& r" m" ^; N, @3 c 0019E47C-> 017E13C4 ->GetVersion 0019E4AC-> 017E0F2C ->GetProcAddress 0019E4B8-> 017E139C ->GetModuleHandleA + O, W& _( b5 d( L0 a, m 0019E4FC-> 017E13F8 ->GetCurrentProcessId 2 a; w9 V& P: t0 T3 r* g3 i 0019E500-> 017E13F0 ->GetCurrentProcess ' Y3 O9 p& L4 s m/ ^' Z 0019E50C-> 017E1430 ->FreeResource 9 ~1 U r& ?9 r d! f8 N) L" @ ' p5 \8 }% X. {6 A- N9. 按"Fix Dump"，选择我们抓取的文件… imprec将会以在文件名前加"_"的方式保存抓取的文件。 " ]& y# Z! ?8 R4 O( D* q 5 X- o; `" h! |========================= $ x# o0 T, @" Y- t- h第四步－修正OEP＝ ========================= + I) \" S( \9 q: q% L 1.打开HVIEW /Hex编辑器，跳转到OEP的偏移地址：57ea5b处， + U4 \$ _( O/ q; A% P ?4 G" Q5 ]# |4 n& k向后移６字节到57ea55处，用"00"替换写入 stolen bytes. 保存为新文件。 0 ?" v! c% P4 F& I; R- F8 @2. 打开ProcDump/Pe-Edit ，点击“Pe-Edit”按纽载入重建的新文件，修改入口点为：57ea55 （因为抽掉的字节） ( f3 i, M# J3 ~8 Z; @ V & w" k) X8 o- G% B0 P. K' J3. 如果你现在试图运行程序，它会死掉的！！ ; }9 D8 i1 z1 x# b4. 打开Olly并载入我们的修正文件。 * r7 ~& [) v4 j- t. u% y - j$ `; o- ?# b* ?7 C/ k Q( n5. 停在OEP： 57ea55处，EAX寄存器的值是什么？还记得我告诉过你在抓取之前保存的EAX的值吗？它是EAX=57E318，两个值的差别意味着有两 个以上的命令： that is stolen: 8 W* \; E4 {- { MOV EAX, 0157E318 这条指令占用５个字节（你可自己在 HVIEW里试一下） - Q8 r% F% Z3 E$ E k# p V B818E35700 MOV EAX, 0157E318 5 i$ `3 M8 [- v; f: h, U这意味着有6+5=11（十进制）个抽掉的字节 9 c- w: P5 J% C4 S那么，真正的OEP是： 11=B(hex) 2 @7 D2 Y, [2 ZOLD_OEP-STOLEN_BYTES=57EA5B-B=57EA50 OEP = 57EA50 " |1 N1 k/ T$ w0 {+ h9 D* }用HVIEW/Hex打开，跳转到新的OEP，写入： 55,8B,EC,83,EC,54,B8,18,E3,57,00 0 h% [: q: _3 }7 ]# S, n9 t+ e用ProcDump\Pe-Edit修改入口点为：57EA50 哈哈，这下程序能运行了！！！ 收工！！！ ?9 w7 W* l0 Z9 _ K0 B8 ~翻译后记：俺一直用Softice，没用过OllyDbg，所以有些内容不知道是否准确，再者水平有限，如有错误，请各位大虾指点！！ 0 a3 u8 [/ o* a0 O. k$ V 7 j3 }6 M4 D1 `2 n" s2 D