用OllyDbg脱ASPR 1.3x的壳

韩冰

作者：LaBBa 1 v! k& s" V9 N5 h: x% j" ~8 l翻译：gmh001 & B, U4 ^3 g0 a2 m/ M# }! ]软件： System Cleaner 4.89 Build 110 ; h; e+ t! C7 P% _( O KUrl : http://www.allerasoft.com/products/systemcleaner/ . J1 w5 q$ D' L2 E. j6 k" R前言 ================== ＯＫ，贴上来！！这是我第三次写这篇破解文章，第一次正在写的时候机死机了，第二次停电了。 * d1 g7 V! C( P- \9 N+ L# K; x（呵呵，运气有点背啊…） & c$ B: s/ P" k( z& q! c现在… ( j4 X+ h0 Y0 n; d" C; R3 N 这篇文章讲述如何真正快速简单的脱掉ASPR 1.3x的壳，并且找出被抽掉的字节… 并且不使用SoftIce、IceDump和 /tracex！用什么？使用OllyDbg ！ 6 y6 W7 }6 L* ~ ; d$ ]% X8 h0 ]) c6 J! w2 Q所需工具 + o7 c, t2 q' F' m================ ! W/ z# V. n- K" L9 J5 y1. OllyDbg 1.09b2 or newer * W% O- i$ ]' s0 T! n2. ProcDump(G-rom)/Pe-edit(y0da) 2 R8 E$ F% g- A$ o' A8 w2 g3. imprec 1.3 (MackT/UCF)(protools.cjb.net) 4. HVIEW / Hex Editor + S! u5 Q7 Q: W" M脱壳步骤 ======================= 1. 找到 OEP＋从内存中抓取程序 2. 找到抽掉的字节 3. 重建IAT 4. 修正OEP : x4 R* F5 T) _3 a- C' o9 a5. 结束 0 E+ Q! F! b: l! h! Y, | ==================================== 第一步—找到 OEP＋从内存中抓取程序 ==================================== 1. 运行Olly并载入应用程序（如果有提示就按 YES！） 4 U- A3 S( m+ E2. 现在按Ｆ９就会在这儿中断： 6 ^( } t! J$ h1 ]8 Q$ F+ S 017E3414 3100 XOR DWORD PTR DS:[EAX],EAX 〈－我们在这儿中断！ ) i. x! @7 x9 e# L0 Q& ` 017E3416 EB 01 JMP SHORT 017E3419 $ H5 M( b8 M B! G; s- E. R; k 017E3418 68 648F0500 PUSH 58F64 为什么Olly会中断？我们不用设断点吗？！ 5 b, _2 J7 {3 u2 Y/ L" ~3 b/ V( X呵呵，Olly在每次进入一个新模块时都会中断…我们将继续使用它！！ : E, y1 B/ ]( j0 ^$ t X/ t' Y H" I7 o9 y( Y3. 按Shift+F9，这样Olly会继续运行直到遇到一个新模块。 ' s: E/ Z9 D4 b% r. l4. 按Shift+F9２６次后我们将到达这里： 017E2D7A 3100 XOR DWORD PTR DS:[EAX],EAX〈－我们停在这里 017E2D7C 64:8F05 00000000 POP DWORD PTR FS:[0] 〈在这里设断点 017E2D83 58 POP EAX / W W) Z7 @5 _ [/ U 017E2D84 833D 806D7E01 00 CMP DWORD PTR DS:[17E6D80],0 017E2D8B 74 14 JE SHORT 017E2DA1 9 u# t4 |5 y. V2 X3 C 017E2D8D 6A 0C PUSH 0C 0 Z* Z: L1 |5 d+ J 017E2D8F B9 806D7E01 MOV ECX,17E6D80 3 _ L, j: O1 D' p& b/ I! }' h1 i: W 017E2D94 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] # k2 K; M( U+ m" i) q/ Z* x( T 017E2D97 BA 04000000 MOV EDX,4 4 `# S( p- d- _; q, P5 g. [ 017E2D9C E8 EFE0FFFF CALL 017E0E90 017E2DA1 FF75 FC PUSH DWORD PTR SS:[EBP-4] 017E2DA4 FF75 F8 PUSH DWORD PTR SS:[EBP-8] " H7 ^ o/ a: s$ l0 v0 x& x7 D 017E2DA7 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 017E2DAA 8338 00 CMP DWORD PTR DS:[EAX],0 " r4 w+ a5 Q6 i7 k 017E2DAD 74 02 JE SHORT 017E2DB1 017E2DAF FF30 PUSH DWORD PTR DS:[EAX] 017E2DB1 FF75 F0 PUSH DWORD PTR SS:[EBP-10] - i$ L6 h) p+ } 017E2DB4 FF75 EC PUSH DWORD PTR SS:[EBP-14] , J9 _ G( l, M6 N# @3 V7 n 017E2DB7 C3 RETN & A& d+ M* ?( J `+ J4 s 如果我们再按一次Shift+F9，软件就运行了…千万别这么做！！ ( c2 P# m4 \% q/ `5. 现在我们向下移光标，到这里： ! b6 Q7 ]2 ~, B0 H. X: }! f" } 017E2D7C 64:8F05 00000000 POP DWORD PTR FS:[0] c5 u& r- L5 h* @% i 按 F2（设断点）。 # k }8 o$ R S" q再按Shift+F9，Olly就会在断点中断。 1 M7 u9 a( l1 n! S( T* P4 X 6. 现在按F8单步追踪，执行RETN将会到达这里： 017F4EC8 E9 080A0000 JMP 017F58D5 〈－在这里 7 ?! A% Z1 Z7 O& n$ n0 | 按F8执行这个跳转… 现在我们来到这里： * _. {1 [$ x( }) g4 G 017F58D5 D3DE RCR ESI,CL 〈－停在这里 017F58D7 B9 7D966271 MOV ECX,7162967D : M# h" a* A! h: z9 C 017F58DC 81C1 38F10A23 ADD ECX,230AF138 1 I2 ] [, D! h5 p. h* x, M( J 017F58E2 D3EE SHR ESI,CL 017F58E4 BA 9ECC7376 MOV EDX,7673CC9E 6 @5 @4 L: A! I! n, f: o 017F58E9 81EA C56EFFD4 SUB EDX,D4FF6EC5 C5 K: S! e3 n, I% ]1 H4 S+ B 017F58EF 81F2 B7104902 XOR EDX,24910B7 % k% c( o* p4 J& I! r. d# E5 ~: t 017F58F5 C1CA 94 ROR EDX,94 017F58F8 8BF2 MOV ESI,EDX 9 A2 V! K! \5 W4 A' s4 ^& Q3 j 017F58FA 81EE 87D851D2 SUB ESI,D251D887 * h/ c( q! O1 _ B9 ` 017F5900 C1CE B0 ROR ESI,0B0 ( V+ M% K/ V$ {3 L2 `% x 017F5903 8BC6 MOV EAX,ESI 017F5905 C1C8 28 ROR EAX,28 + U, s0 ?1 w5 @- y. e 017F5908 53 PUSH EBX ! }4 a! D5 [7 T& |$ @1 D& ~( a 017F5909 5E POP ESI + f& G. V% a* o. w/ e 017F590A 81C5 974FAF73 ADD EBP,73AF4F97 / B/ Y* W2 d* o) B5 D& I+ z4 s 017F5910 BA 048A9178 MOV EDX,78918A04 017F5915 F7D2 NOT EDX 017F5917 F7D2 NOT EDX 3 M# B$ ?- I' } 017F5919 81C2 FC756E87 ADD EDX,876E75FC 5 @- D9 l3 N+ Y% S! x2 F 017F591F 8BDA MOV EBX,EDX 017F5921 41 INC ECX------------------------- 017F5922 8BD9 MOV EBX,ECX | 017F5924 D1C3 ROL EBX,1 | a Realy Long % T/ c1 A5 [' d2 R$ m) g 017F5926 81F3 A38FD7AC XOR EBX,ACD78FA3 | Loop 7 ?) E3 v; \" _$ @* [ 017F592C 3BD8 CMP EBX,EAX | 017F592E ^0F85 EDFFFFFF JNZ 017F5921-------------------- 017F5934 8BC1 MOV EAX,ECX 〈〈－在这里设断点！！ 9 A: m. y# ~' J3 j好了，我们可以不用通过按 F8 来追踪整个循环！！我们在下面的指令上设一个断点： 1 g0 R/ Z# ^- n0 d$ U . n0 F) o: f5 O* r0 f 017F5934 8BC1 MOV EAX,ECX " O6 c( e6 ]& n8 s( p, A2 j 设置断点后（F2），按F9（运行），将会在断点上停下来。 ; Y2 p. h& T( y$ C, i4 V% t/ A ) y! g2 s' s: }( {4 F7. 为什么？？总是用F8 / F7追踪？？！！ 好吧…不！！ - h: i1 {( g( ^. Y1 rOlly里有一个很好的功能：调用命令行。 从菜单里选择：Plugins->Command line->Command line y& F& g' v8 g9 [ 现在我们将写一个条件追踪命令！ YES ! Olly有一个追踪命令！它调用－TC－条件追踪 ' n5 b5 W% z5 K2 U& B6 y它将会在条件表达式为真时中断！ 这样…在文本框里写入：TC EIP<900000 : B! ^7 u: D, n按Enter键。 5 F$ N; ?, H5 T/ M7 N在窗口的右下会出现：“正在追踪” ! ?1 C. ~% L9 c5 R- u: N 我的机子慢，花了大约８分钟(350MHz) / `0 ?, r0 I& ^! e( y) ]在另一台较快的机子上花了２分钟多一点(900MHz Celeron) * x) g* U1 h' o 8. 追踪完成后中断在这里： " M. x% b+ Q5 w+ J 0057EA5B E8 DB E8 f* u! j8 F1 f9 f 0057EA5C 00 DB 00 0057EA5D 8A DB 8A " C3 w. L( A0 x6 d q. B- i3 G 0057EA5E E8 DB E8 # x% z) d# p o4 ?+ A9 v) t4 q 0057EA5F FF DB FF 2 w9 h6 m; o, E; i w+ Z 嘿！！ i Dont See Shit !!这是为什么？！ 噢，Olly没有分析这段代码，实际上我们并没有真提停在OEP上！ OEP=57EA5B 6 w* i4 G; Q; }. Y/ ~9. 重点！！ 在OEP处看盾EAX值（CPU窗口的右上面） 6 U1 }$ ^. V6 rEAX=57E318 3 ]/ B8 d$ h6 U+ s记住它，以后会用到它的。 9 S1 w3 s$ N% G) D10. 打开 ProcDump/Pe-Edit，完全抓取进程。 3 g& C+ g, b4 h% l=================================== 第三步－找出抽掉的字节＝ ; k0 \; c; n0 t9 _5 c! M+ A- A2 c$ D* k=================================== 5 t. |/ S0 Y2 q找出抽掉的字节有三种方法： 1. ASPR会执行抽掉的字节，象下面这样跳转到OEP： / q- J7 j2 r# p* M; P" O3 {4 k4 A Stolen_Bytes_1 ( E/ D. [$ h' U. i& l Stolen_Bytes_2 F) m" W( G, q$ P$ t- p Stolen_Bytes_3 ..... # J& U0 J( ?; T& x ..... & p s- J) G0 a! t2 `5 ] PUSH_THE_ADDRESS_OF_OEP * j0 X4 K+ C, `2 p& P+ U" p RET_TO_OEP . y7 x7 B& z4 c( F2. ASPR首先保存抽掉的字节，然后从OEP处还原，再象下面这样跳转到OEP： 2 k3 U3 w3 v. ` Stolen_Bytes_1 8 x% i* e& k7 y Stolen_Bytes_2 Stolen_Bytes_3 PUSH EBX PUSH ESI PUSH EDI ...... ...... & `3 J V2 R' x: c ...... REPZ STOSB 〈－还原字节 POPFD : L+ A( z, U0 M& E' } POPAD JMP_TO_OEP 3. 没有抽掉的字节时，只执行PopAD指令和跳转到OEP。 那么我们怎么处理它呢？ M$ A! T6 h1 o2 [6 O1 E) m+ m看看ASPR在跳转到OEP前的最后几步是什么。这需要查看跟踪日记。 太好了！Olly可以使用"Run Trace"功能来得到一个 跟踪日记。 & {0 G; [6 x& I& M `. N, I这样…选择菜单： View->Run trace . \: ]7 h! W# a现在我们看见一个新窗口…跳转到最后一行的前一行，你会看到CPU窗口也变为同样的地址，象下面这样： # m( z7 A: {" t4 [ 9 {7 E5 c# c4 I* L: _ 017F5779 F3:AA REP STOS BYTE PTR ES:[EDI] 017F577B 9D POPFD 017F577C 61 POPAD , L, \9 w/ O1 ` 017F577D -E9 D992D8FE JMP SYSTEMCL.0057EA5B 〈－OEP的地址 我们用第二种方法对付它！！ 8 k+ t( k- {/ B; c2 z* ~0 H+ Z . t3 ~) B# s# W* |1 B上面的内容我是在 winXP下发现的，不是 win98：: 3 y# @% |1 G* Y7 Q在CPU窗口里按 Ctrl+S（搜索命令的次序） * x' q! h$ a: l8 I写入下面的： ; y- _: k( |! h PUSH EBX PUSH ESI PUSH EDI 7 Z, _& }1 ~: e1 }7 y % H; i9 d, O) d) ^1 ^0 h: |你会发现： * H; r4 N& d/ d+ N& y7 S9 n- R 01029227 0055 8B ADD BYTE PTR SS:[EBP-75],DL 0102922A EC IN AL,DX ; I/O命令 ' {. n( S/ a C- y1 } 0102922B 83EC 54 SUB ESP,54 8 c$ N j4 Z! g. G- h 0102922E 53 PUSH EBX ) F2 X. z( L- T9 g8 m. i 0102922F 56 PUSH ESI 01029230 57 PUSH EDI 01029231 6A 11 PUSH 11 忽略 "00"，你会找到抽掉的字节：55,8b,ec,83,ec,54 1 f2 H, s# F7 s5 b$ D G2 L% O记下它们，以后会有用的… 5 ]* m3 I; i* c1 [9 S2 l! J' d关闭OLLY… 目前是不需要它啦… ) p' w% I" ?- z4 C============================= 第三步－重建IAT＝ ============================= ) Z" A* ^* y6 C i0 o * R# }* U8 v+ f0 P1. 首先运行软件，等候它被载入。 ' R% x. c: G; H$ P" S; H2. 运行Imprec，从列表中选择进程。 3. 按"IAT AutoSearch" 4. 把大小从"BC"修改为1000（BC太小了！！） 5. 按"Get Imports" ( S3 b) T5 n3 t! |+ @# P6. 按"Show Invalid" - X/ s) P) o4 ?1 w: F7 w7. 在显示无效的项目上右击鼠标，选择"Trace level 1" 8. 再次按"Show Invalid"…现在我们应该得到下面的东西： ; K9 D: ?! u7 c) m （从保存的树中剪切） FThunk: 0019E258 NbFunc: 00000400 $ D7 _$ T% d) w1 A/ Y5 t+ U2 V( R 1 0019E258 kernel32.dll 00D6 DeleteCriticalSection 1 0019E25C kernel32.dll 0228 LeaveCriticalSection ................ - f2 x/ C4 ^$ P: z, M$ s 省略－省略 ................ 1 0019E2A4 kernel32.dll 01D1 GetThreadLocale 4 _; ~3 H8 G) z0 D* d 1 0019E2A8 kernel32.dll 01B9 GetStartupInfoA 0 0019E2AC ? 0000 017E0F2C <-- good 0 0019E2B0 ? 0000 017E139C <-- good 1 0019E2B4 kernel32.dll 018B GetModuleFileNameA % Y& r, d! ~: E9 n/ O 1 0019E2B8 kernel32.dll 0183 GetLocaleInfoA 1 0019E2BC kernel32.dll 0181 GetLastError ) t Y4 u9 U" G" R' ?5 I 1 0019E2C0 kernel32.dll 0158 GetCurrentDirectoryA 0 0019E2C4 ? 0000 017E1408 <-- good & N! _9 T% w( I" {8 t0 E 1 0019E2C8 kernel32.dll 0133 FreeLibrary 1 0019E2CC kernel32.dll 011C FindFirstFileA .................. % g- Z: O( c! |8 [ 省略－省略 ; o, j7 W4 g: J( Z7 E .................. 1 0019E314 kernel32.dll 00A0 CloseHandle 4 w6 N7 r- q) ]" }; H( \; h 0 0019E318 ? 0000 0255A00E <-- BAD 1 0019E31C user32.dll 0112 GetKeyboardType 1 0019E320 user32.dll 019F LoadStringA # w' C! E, a' F4 k/ q7 h3 J 1 0019E324 user32.dll 01AD MessageBoxA 1 0019E328 user32.dll 0026 CharNextA 0 0019E32C ? 0000 70F7D832 <-- BAD $ L& \) J( T# i4 V 1 0019E330 advapi32.dll 00F7 RegQueryvalueExA ) _' n, l! p; T. F6 |9 n 1 0019E334 advapi32.dll 00EF RegOpenKeyExA 1 0019E338 advapi32.dll 00D8 RegCloseKey # J3 K+ ^! C/ _/ c7 m2 @ 0 0019E33C ? 0000 F37514C2 <-- BAD 1 0019E340 oleaut32.dll 0006 SysFreeString 1 0019E344 oleaut32.dll 0005 SysReAllocStringLen 1 0019E348 oleaut32.dll 0004 SysAllocStringLen 0 0019E34C ? 0000 4007F56E <-- BAD ' `1 q6 f2 b3 k 1 0019E350 kernel32.dll 0307 TlsSetvalue 1 0019E354 kernel32.dll 0306 TlsGetvalue 1 0019E358 kernel32.dll 01E6 GlobalAlloc 8 P/ [( G( }& I9 D" h9 p 0 0019E35C ? 0000 017E139C <-- good 0 0019E360 ? 0000 BF57C0D8 <-- BAD ....................... 1 B3 v0 j: M5 x- o 省略－省略 ; g2 ]0 b( f( B$ R ....................... * ~# Q4 |, `5 I! c. N1 I , l1 j# i$ n2 g0 W好了，我们继续重复这样做… 我们需要手工选择所有坏地址（不在压缩代码内），然后在它们上面右击鼠标，从菜单里选择 "Cut Thunk(s)"。 9 q' U; c& H; \- V: c# \观察窗口在最下…那儿有好的Thunk(s)… ; J6 e3 v z2 v& F; g现在我们需要修正这些好字节…你可能从fraviamb.cjb.net下载过一些插件 或者看我其他关于如何重建的文章（New2Cracking.cjb.net或者Fraviamb.cjb.net） 这是我修正的： ! W6 V& h: I9 ~ ( J: y V0 \3 w+ Y, g 0019E2AC-> 017E0F2C ->GetProcAddress 0019E2B0-> 017E139C ->GetModuleHandleA 0019E2C4-> 017E1408 ->GetCommandLineA ; n9 M( n3 _. c6 N$ u% l& u 0019E35C-> 017E139C ->GetModuleHandleA 6 O; a: ^! S3 @5 i8 `8 b( j 0019E428-> 017E1420 ->LockResource # A& I% S8 m( g0 J, ]' _5 s% m, S 0019E47C-> 017E13C4 ->GetVersion 0019E4AC-> 017E0F2C ->GetProcAddress 0019E4B8-> 017E139C ->GetModuleHandleA 0019E4FC-> 017E13F8 ->GetCurrentProcessId 0019E500-> 017E13F0 ->GetCurrentProcess 0019E50C-> 017E1430 ->FreeResource 0 U* _& [ T2 n" K# z3 C9. 按"Fix Dump"，选择我们抓取的文件… imprec将会以在文件名前加"_"的方式保存抓取的文件。 3 m- K1 M- \" T' L0 v+ ^2 P2 N8 }========================= & `" [+ y w5 y) W0 G. U第四步－修正OEP＝ ========================= # k& t$ a7 _ U/ L1 V) F0 h0 }) g! R( B 1.打开HVIEW /Hex编辑器，跳转到OEP的偏移地址：57ea5b处， % R* X* t7 R0 v- K6 z向后移６字节到57ea55处，用"00"替换写入 stolen bytes. 保存为新文件。 , }2 ], S& ^4 y) J 2. 打开ProcDump/Pe-Edit ，点击“Pe-Edit”按纽载入重建的新文件，修改入口点为：57ea55 （因为抽掉的字节） 3. 如果你现在试图运行程序，它会死掉的！！ ( U) j* g' r8 i/ Y- w1 ^ 4. 打开Olly并载入我们的修正文件。 1 k4 s2 r& Q$ m" Z , t( J/ s3 u: ^/ [$ h, f1 K( }5. 停在OEP： 57ea55处，EAX寄存器的值是什么？还记得我告诉过你在抓取之前保存的EAX的值吗？它是EAX=57E318，两个值的差别意味着有两 个以上的命令： that is stolen: ; a0 @ r5 B% W& n6 H$ K' f MOV EAX, 0157E318 : j- t! L# x7 u0 Y* X V/ j0 K% d: k7 B& f- b这条指令占用５个字节（你可自己在 HVIEW里试一下） B818E35700 MOV EAX, 0157E318 这意味着有6+5=11（十进制）个抽掉的字节 - d( ~5 S, U. @! r' H5 J那么，真正的OEP是： $ W3 d% n% F5 _; x$ S/ l11=B(hex) OLD_OEP-STOLEN_BYTES=57EA5B-B=57EA50 & C" o: w$ B! A) s. K* C. EOEP = 57EA50 - v0 n( {: j2 ?1 P+ }6 b用HVIEW/Hex打开，跳转到新的OEP，写入： ; l( y# _4 q( o8 i 55,8B,EC,83,EC,54,B8,18,E3,57,00 用ProcDump\Pe-Edit修改入口点为：57EA50 哈哈，这下程序能运行了！！！ + ^" z4 F. @. u( Q收工！！！ 翻译后记：俺一直用Softice，没用过OllyDbg，所以有些内容不知道是否准确，再者水平有限，如有错误，请各位大虾指点！！ 8 c. Y4 i" i$ ]5 b4 h * [: e" M8 F+ M- b* ]