用OllyDbg脱ASPR 1.3x的壳

韩冰

作者：LaBBa 7 i% b% |/ d( ~9 E0 M# a翻译：gmh001 软件： System Cleaner 4.89 Build 110 9 O4 r" W4 c* Q% G8 fUrl : http://www.allerasoft.com/products/systemcleaner/ 3 u* Z" a* w! N# ^, K6 Q) t& ~$ k前言 ================== 3 |. U+ t2 m$ |, M! F; O' U2 c$ gＯＫ，贴上来！！这是我第三次写这篇破解文章，第一次正在写的时候机死机了，第二次停电了。 . J& A) P ]. J+ Y# W（呵呵，运气有点背啊…） 现在… ! G1 J+ M. Z+ k这篇文章讲述如何真正快速简单的脱掉ASPR 1.3x的壳，并且找出被抽掉的字节… & x! R) X- c5 y+ S并且不使用SoftIce、IceDump和 /tracex！用什么？使用OllyDbg ！ " I: y# q5 b% V* Q$ N% j 0 m( X. K" r' z. O所需工具 & q) D/ e1 j. c$ G================ 5 A8 E# S e- ]1. OllyDbg 1.09b2 or newer 1 m, c6 N6 a& U# H; U3 O' F2. ProcDump(G-rom)/Pe-edit(y0da) ! Y* Z: V- ?. U0 Y r# R0 r8 w3. imprec 1.3 (MackT/UCF)(protools.cjb.net) % b% X: m0 ?) ~3 v: D; Y7 m4. HVIEW / Hex Editor 7 p; O) d" @9 ?4 D5 Y, | 脱壳步骤 ======================= 1. 找到 OEP＋从内存中抓取程序 2. 找到抽掉的字节 7 }) N3 o* {7 [. A3. 重建IAT 4. 修正OEP 5. 结束 * e8 Z. U* o, j 0 k; h1 U8 R1 a2 L1 }" Y5 v8 } , Q6 y0 F, t, Q9 ~==================================== . N4 C* l3 `" X6 y4 P第一步—找到 OEP＋从内存中抓取程序 ==================================== ' d$ | L1 }2 t5 X 6 O7 _5 D5 c8 _. [% b/ w1. 运行Olly并载入应用程序（如果有提示就按 YES！） 2. 现在按Ｆ９就会在这儿中断： + V3 I. Q+ P3 Q. A" k 017E3414 3100 XOR DWORD PTR DS:[EAX],EAX 〈－我们在这儿中断！ . }* x7 Y; z) A2 @8 O$ B 017E3416 EB 01 JMP SHORT 017E3419 ' D; i2 c( |4 S) w* L" H 017E3418 68 648F0500 PUSH 58F64 为什么Olly会中断？我们不用设断点吗？！ 9 |) o) ^. d7 V* O+ [/ j0 V呵呵，Olly在每次进入一个新模块时都会中断…我们将继续使用它！！ 0 f2 H& q R8 ^ % r' c, }% E: f, Y3 \: u! J9 s3. 按Shift+F9，这样Olly会继续运行直到遇到一个新模块。 4. 按Shift+F9２６次后我们将到达这里： 0 d, F' ~- K# r, H3 l # g7 a+ \' q" f. A! y6 K( O 017E2D7A 3100 XOR DWORD PTR DS:[EAX],EAX〈－我们停在这里 017E2D7C 64:8F05 00000000 POP DWORD PTR FS:[0] 〈在这里设断点 017E2D83 58 POP EAX 017E2D84 833D 806D7E01 00 CMP DWORD PTR DS:[17E6D80],0 3 T O. G. k# j" [& c 017E2D8B 74 14 JE SHORT 017E2DA1 017E2D8D 6A 0C PUSH 0C - P" Y% L. v5 ^# \3 s$ w3 G 017E2D8F B9 806D7E01 MOV ECX,17E6D80 017E2D94 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] * {; v9 a+ P7 F 017E2D97 BA 04000000 MOV EDX,4 017E2D9C E8 EFE0FFFF CALL 017E0E90 9 l2 ?' P; x2 N8 ~$ g4 C- n 017E2DA1 FF75 FC PUSH DWORD PTR SS:[EBP-4] . S5 W/ U1 y% ~' a 017E2DA4 FF75 F8 PUSH DWORD PTR SS:[EBP-8] 017E2DA7 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 017E2DAA 8338 00 CMP DWORD PTR DS:[EAX],0 ) Y0 Z! M& o3 f4 A) C/ h- y 017E2DAD 74 02 JE SHORT 017E2DB1 3 q' G+ h/ M$ ?5 Z, J, Q 017E2DAF FF30 PUSH DWORD PTR DS:[EAX] 017E2DB1 FF75 F0 PUSH DWORD PTR SS:[EBP-10] 017E2DB4 FF75 EC PUSH DWORD PTR SS:[EBP-14] ; X( G4 w2 \3 j/ Q 017E2DB7 C3 RETN , A) S) j" n1 |! T, ^ 如果我们再按一次Shift+F9，软件就运行了…千万别这么做！！ 0 A! O& a1 G) w) l! M% }% |2 U8 t 5. 现在我们向下移光标，到这里： $ E) \. D: N. w! S# E u% S0 L 017E2D7C 64:8F05 00000000 POP DWORD PTR FS:[0] 0 q1 Z2 k6 s6 L, t3 ^' F按 F2（设断点）。 ) F: [ S7 {" L9 I: e8 J! t0 }再按Shift+F9，Olly就会在断点中断。 ! S' h0 C1 X" j$ z5 Z! ^; e- \ 6. 现在按F8单步追踪，执行RETN将会到达这里： 5 O0 u( Y; K& I' ~ 017F4EC8 E9 080A0000 JMP 017F58D5 〈－在这里 7 [6 E$ Z3 K$ E 按F8执行这个跳转… ( N' x Q# D0 u |/ K) N r现在我们来到这里： / M$ v: s& O {" i0 d 017F58D5 D3DE RCR ESI,CL 〈－停在这里 0 C& P7 Z0 T2 h/ x. y i 017F58D7 B9 7D966271 MOV ECX,7162967D ) o+ o/ @& @$ ?0 O7 p* m0 X7 g 017F58DC 81C1 38F10A23 ADD ECX,230AF138 4 L' v* t' [ } x; C 017F58E2 D3EE SHR ESI,CL + }) m& W6 O3 V: C( U# {5 ?0 z 017F58E4 BA 9ECC7376 MOV EDX,7673CC9E 017F58E9 81EA C56EFFD4 SUB EDX,D4FF6EC5 ; S: T+ r7 r/ ~3 `' q 017F58EF 81F2 B7104902 XOR EDX,24910B7 017F58F5 C1CA 94 ROR EDX,94 ' z" @; v+ t" [: l5 W0 n 017F58F8 8BF2 MOV ESI,EDX 0 J0 r: e0 {2 P3 U- ` w% L 017F58FA 81EE 87D851D2 SUB ESI,D251D887 * y2 `5 z: }1 b, j( }$ w& q" @/ e 017F5900 C1CE B0 ROR ESI,0B0 & g% v8 u8 E# H9 V 017F5903 8BC6 MOV EAX,ESI " s. o+ p, F0 [ 017F5905 C1C8 28 ROR EAX,28 ( v, k+ |8 \4 U 017F5908 53 PUSH EBX ( j: m' ^+ t# ]1 I0 |. \; d 017F5909 5E POP ESI ' j7 D' n+ @) `4 @7 X 017F590A 81C5 974FAF73 ADD EBP,73AF4F97 017F5910 BA 048A9178 MOV EDX,78918A04 ; D# C6 n- d x* i/ `% o 017F5915 F7D2 NOT EDX 017F5917 F7D2 NOT EDX $ W0 Z! c) Z, A$ N 017F5919 81C2 FC756E87 ADD EDX,876E75FC 017F591F 8BDA MOV EBX,EDX 6 l# U" e6 J5 A$ }! K 017F5921 41 INC ECX------------------------- 017F5922 8BD9 MOV EBX,ECX | 017F5924 D1C3 ROL EBX,1 | a Realy Long 017F5926 81F3 A38FD7AC XOR EBX,ACD78FA3 | Loop % [( b# h3 Z( z% N+ E5 p, ]0 y 017F592C 3BD8 CMP EBX,EAX | + t" T! f! _) G6 l0 x% H; b 017F592E ^0F85 EDFFFFFF JNZ 017F5921-------------------- 017F5934 8BC1 MOV EAX,ECX 〈〈－在这里设断点！！ 8 f) c. Y. M$ b6 J& E# K 好了，我们可以不用通过按 F8 来追踪整个循环！！我们在下面的指令上设一个断点： ! M2 C( E; u3 Y$ b' N; |' a 017F5934 8BC1 MOV EAX,ECX % ~& V: z0 L1 q3 q i0 w. K3 C / B7 ^4 |4 I) P8 ], z* x设置断点后（F2），按F9（运行），将会在断点上停下来。 5 k6 I9 v$ A7 u6 N1 w( e4 f7. 为什么？？总是用F8 / F7追踪？？！！ 好吧…不！！ Olly里有一个很好的功能：调用命令行。 % X0 S/ C; T8 J2 X9 x从菜单里选择：Plugins->Command line->Command line 1 |4 y o. X( y' T7 ~ ) T8 y. i5 M' j5 H, t5 |现在我们将写一个条件追踪命令！ 7 ~; J& k0 b5 e! p2 bYES ! Olly有一个追踪命令！它调用－TC－条件追踪 它将会在条件表达式为真时中断！ 这样…在文本框里写入：TC EIP<900000 按Enter键。 , k4 K5 b5 H3 S+ k ?" k* q; q在窗口的右下会出现：“正在追踪” 3 w* Z+ T* W- ~' U# G5 @) {我的机子慢，花了大约８分钟(350MHz) , E' {4 V' I' }% K. C在另一台较快的机子上花了２分钟多一点(900MHz Celeron) 8. 追踪完成后中断在这里： 0057EA5B E8 DB E8 0057EA5C 00 DB 00 0057EA5D 8A DB 8A 0057EA5E E8 DB E8 0057EA5F FF DB FF 嘿！！ i Dont See Shit !!这是为什么？！ & V4 ]* `8 j# P' X P1 Y噢，Olly没有分析这段代码，实际上我们并没有真提停在OEP上！ 2 i( ?5 |' {1 iOEP=57EA5B 9. 重点！！ 在OEP处看盾EAX值（CPU窗口的右上面） : s6 w' J( L K( TEAX=57E318 ; z0 R3 m9 j$ b4 a" f记住它，以后会用到它的。 , {0 b; F+ w% g% _: W" R " y5 m0 ~+ K; u ]6 I% o10. 打开 ProcDump/Pe-Edit，完全抓取进程。 7 V2 d, k; a, k9 G, f* n5 a' t2 U . n7 [7 n+ X( c=================================== 第三步－找出抽掉的字节＝ 5 Y& r9 P6 c, l+ z }# B9 T=================================== 8 F1 I% O: o, z% y) O+ p ; |. d# k! q$ x M2 k找出抽掉的字节有三种方法： ! d1 v/ l" J! L# Z1. ASPR会执行抽掉的字节，象下面这样跳转到OEP： 1 v/ Y! R7 u1 [- f5 U* R- M: h7 w Stolen_Bytes_1 Stolen_Bytes_2 Stolen_Bytes_3 ..... ..... 3 H9 s7 R5 [: c9 ~ PUSH_THE_ADDRESS_OF_OEP * c- e# f7 _, t RET_TO_OEP " e) }- `0 o" r) {. O* P( @; H F2. ASPR首先保存抽掉的字节，然后从OEP处还原，再象下面这样跳转到OEP： Stolen_Bytes_1 Stolen_Bytes_2 Stolen_Bytes_3 PUSH EBX PUSH ESI PUSH EDI ' X' i* i6 S* m) \8 Q& C+ h ...... ...... d9 N$ H' J6 u: x. \" E. ]" ` ...... REPZ STOSB 〈－还原字节 0 j/ x: r3 O( v2 K; V2 u POPFD POPAD JMP_TO_OEP 2 o9 g" u# u6 N - w% l3 A/ \- d- c+ h; u* Z3. 没有抽掉的字节时，只执行PopAD指令和跳转到OEP。 1 v& _1 [4 t: u: @8 r- f: q+ x 那么我们怎么处理它呢？ 8 z" Z# R" b. H6 v. W8 s+ C看看ASPR在跳转到OEP前的最后几步是什么。这需要查看跟踪日记。 - v% @+ m, N1 C太好了！Olly可以使用"Run Trace"功能来得到一个 跟踪日记。 + f! K9 g% K' M6 ^0 a) p/ r这样…选择菜单： View->Run trace 现在我们看见一个新窗口…跳转到最后一行的前一行，你会看到CPU窗口也变为同样的地址，象下面这样： ! y2 d$ e3 |* @) k 017F5779 F3:AA REP STOS BYTE PTR ES:[EDI] 2 W3 ~7 l6 A3 G$ H; z 017F577B 9D POPFD 017F577C 61 POPAD % I. h( s7 L) F2 @9 j' v3 D. T9 C! j 017F577D -E9 D992D8FE JMP SYSTEMCL.0057EA5B 〈－OEP的地址 ; Y) _: g2 d P3 {7 k$ P8 k ]* }. ~+ f0 C我们用第二种方法对付它！！ * L" h: V4 C. ]/ A - I. y$ v: J4 C8 z s h" I2 Q W上面的内容我是在 winXP下发现的，不是 win98：: 在CPU窗口里按 Ctrl+S（搜索命令的次序） " N8 `6 m$ [) x- U* ^! K写入下面的： 8 W0 I" l0 [+ O. L, J # t/ N) }. f7 z {8 h PUSH EBX * |3 ?' O$ n! c PUSH ESI 8 J3 _$ m. D3 J4 s$ ] PUSH EDI # v* k3 \; |& D D 你会发现： 01029227 0055 8B ADD BYTE PTR SS:[EBP-75],DL 0102922A EC IN AL,DX ; I/O命令 0102922B 83EC 54 SUB ESP,54 0102922E 53 PUSH EBX 9 F. h+ B+ z; E; N9 c; u6 @6 Q 0102922F 56 PUSH ESI 01029230 57 PUSH EDI " Z! U9 v5 X; R+ u" J 01029231 6A 11 PUSH 11 , `$ ^# |( X& j0 f4 a* ^5 [ ( d5 n, ^; p. D/ Y1 B$ w忽略 "00"，你会找到抽掉的字节：55,8b,ec,83,ec,54 + O* E7 f0 |+ Z H# }) t6 _记下它们，以后会有用的… $ ^& l( O. d' f+ k+ r关闭OLLY… 目前是不需要它啦… & X' D/ V0 L! O " L; e1 N1 x- \9 a- K. \6 ~============================= " |9 {7 K" c, m0 @第三步－重建IAT＝ 9 a# ] r4 n Q, c============================= ( h5 l1 l% E9 h7 L. r9 I( n. w , [" w) `" h O# Q- w1. 首先运行软件，等候它被载入。 2. 运行Imprec，从列表中选择进程。 3. 按"IAT AutoSearch" J6 Q2 K. c6 u& U9 D9 f* c4. 把大小从"BC"修改为1000（BC太小了！！） ' Z% N" v3 C$ x0 k! ]0 l; ~5. 按"Get Imports" 6. 按"Show Invalid" 4 o- M% |; B6 @6 x' G, D0 h6 }7. 在显示无效的项目上右击鼠标，选择"Trace level 1" 8. 再次按"Show Invalid"…现在我们应该得到下面的东西： & C) {2 X+ Q. }" }% G# }: c$ v （从保存的树中剪切） / D* b4 l7 }& o9 P: }' X5 ^' ~1 Y FThunk: 0019E258 NbFunc: 00000400 : L" S2 ^. p3 t/ c. ~: J. H 1 0019E258 kernel32.dll 00D6 DeleteCriticalSection . w, k0 b# S: @! Z9 g" X# A6 ]( L 1 0019E25C kernel32.dll 0228 LeaveCriticalSection 4 b# L3 @- \: n% P; G8 L ................ ! _7 {/ Y: F' p1 z' c 省略－省略 ................ 1 0019E2A4 kernel32.dll 01D1 GetThreadLocale 1 0019E2A8 kernel32.dll 01B9 GetStartupInfoA 0 0019E2AC ? 0000 017E0F2C <-- good ( o# Q: `/ b C8 v& _0 D8 W 0 0019E2B0 ? 0000 017E139C <-- good 1 0019E2B4 kernel32.dll 018B GetModuleFileNameA 1 0019E2B8 kernel32.dll 0183 GetLocaleInfoA 1 0019E2BC kernel32.dll 0181 GetLastError X+ Q+ Y. J& v r1 i$ B8 x8 \( v 1 0019E2C0 kernel32.dll 0158 GetCurrentDirectoryA 4 B" |7 `9 m, j7 _6 U 0 0019E2C4 ? 0000 017E1408 <-- good 3 O& u! C& b4 t% e9 X& L 1 0019E2C8 kernel32.dll 0133 FreeLibrary 1 0019E2CC kernel32.dll 011C FindFirstFileA .................. 省略－省略 .................. 1 0019E314 kernel32.dll 00A0 CloseHandle 1 t* P D% v: H1 W I' D, b 0 0019E318 ? 0000 0255A00E <-- BAD 1 0019E31C user32.dll 0112 GetKeyboardType 1 0019E320 user32.dll 019F LoadStringA 1 0019E324 user32.dll 01AD MessageBoxA / A2 o, X8 ?, b6 c6 J, H 1 0019E328 user32.dll 0026 CharNextA 0 0019E32C ? 0000 70F7D832 <-- BAD 1 0019E330 advapi32.dll 00F7 RegQueryvalueExA 1 0019E334 advapi32.dll 00EF RegOpenKeyExA 3 H% M. |+ {! T [ 1 0019E338 advapi32.dll 00D8 RegCloseKey 0 0019E33C ? 0000 F37514C2 <-- BAD % `6 r: W2 G" g% J/ G0 x6 ^ 1 0019E340 oleaut32.dll 0006 SysFreeString 1 0019E344 oleaut32.dll 0005 SysReAllocStringLen 1 0019E348 oleaut32.dll 0004 SysAllocStringLen 0 0019E34C ? 0000 4007F56E <-- BAD + F: K& q3 Y/ n$ Q% |/ B+ @ 1 0019E350 kernel32.dll 0307 TlsSetvalue 1 0019E354 kernel32.dll 0306 TlsGetvalue 1 0019E358 kernel32.dll 01E6 GlobalAlloc 0 0019E35C ? 0000 017E139C <-- good 0 0019E360 ? 0000 BF57C0D8 <-- BAD ....................... 省略－省略 : y1 Q' o" U5 |" l ....................... 好了，我们继续重复这样做… 3 n; I* e. F7 c/ `5 P8 t9 `我们需要手工选择所有坏地址（不在压缩代码内），然后在它们上面右击鼠标，从菜单里选择 "Cut Thunk(s)"。 观察窗口在最下…那儿有好的Thunk(s)… 6 ^2 w# A' W3 C; o现在我们需要修正这些好字节…你可能从fraviamb.cjb.net下载过一些插件 或者看我其他关于如何重建的文章（New2Cracking.cjb.net或者Fraviamb.cjb.net） 8 w- k/ M% D" E3 [( @这是我修正的： 8 Z* \2 x2 N+ k. C! c 0019E2AC-> 017E0F2C ->GetProcAddress 0019E2B0-> 017E139C ->GetModuleHandleA % h5 u7 ^" |0 O, l. n; J 0019E2C4-> 017E1408 ->GetCommandLineA / A' C& q6 Q# O0 S 0019E35C-> 017E139C ->GetModuleHandleA 0019E428-> 017E1420 ->LockResource 1 j1 ?4 A# C3 V3 k% y 0019E47C-> 017E13C4 ->GetVersion 0019E4AC-> 017E0F2C ->GetProcAddress 0019E4B8-> 017E139C ->GetModuleHandleA 1 _. c) A# Y3 ~) }4 M6 X8 d 0019E4FC-> 017E13F8 ->GetCurrentProcessId 0019E500-> 017E13F0 ->GetCurrentProcess 7 ^6 m. U- B' J6 L: W 0019E50C-> 017E1430 ->FreeResource ! @& M9 K$ M B2 M: W9. 按"Fix Dump"，选择我们抓取的文件… imprec将会以在文件名前加"_"的方式保存抓取的文件。 ========================= ! d, s6 [$ y' Q2 ?; j2 S$ E第四步－修正OEP＝ ; B6 @ F& [4 A========================= ( R$ B- S) J! o9 n8 k1 \8 F, z1.打开HVIEW /Hex编辑器，跳转到OEP的偏移地址：57ea5b处， $ d9 U- Z- X9 Y2 H向后移６字节到57ea55处，用"00"替换写入 stolen bytes. 保存为新文件。 . M4 {* b {: P3 Z4 O6 e 8 _9 m/ R( X4 c' [, W& i/ V8 Z2. 打开ProcDump/Pe-Edit ，点击“Pe-Edit”按纽载入重建的新文件，修改入口点为：57ea55 （因为抽掉的字节） ; ?1 A6 y u1 U. k9 k9 V ( u1 G2 m& Z9 u! Y5 A3. 如果你现在试图运行程序，它会死掉的！！ 4. 打开Olly并载入我们的修正文件。 3 C/ D1 W3 _3 I# r- t5. 停在OEP： 57ea55处，EAX寄存器的值是什么？还记得我告诉过你在抓取之前保存的EAX的值吗？它是EAX=57E318，两个值的差别意味着有两 ; J- c6 x* K% T. O& a6 Q4 n: k! k 4 e: m" d3 H* u个以上的命令： that is stolen: 8 O1 b g& n8 _# J# \- ^ MOV EAX, 0157E318 $ B4 X. K$ ]3 [# j4 U 8 Z! O4 b' _ N. T! {! k这条指令占用５个字节（你可自己在 HVIEW里试一下） . T, `+ p* w# U( z7 O' u. H B818E35700 MOV EAX, 0157E318 这意味着有6+5=11（十进制）个抽掉的字节 : J! S1 h4 ^2 e# \2 B& {5 o6 t9 u那么，真正的OEP是： 11=B(hex) 9 x5 h$ K ^! ?4 \+ i/ W$ j$ JOLD_OEP-STOLEN_BYTES=57EA5B-B=57EA50 0 `9 X7 G0 S1 p% O1 YOEP = 57EA50 用HVIEW/Hex打开，跳转到新的OEP，写入： ) x' T% c" E7 F+ | x' j5 w, q 55,8B,EC,83,EC,54,B8,18,E3,57,00 用ProcDump\Pe-Edit修改入口点为：57EA50 4 C! h9 i( b8 p: _8 |0 l# b哈哈，这下程序能运行了！！！ ' J8 g- ?5 O3 |" a$ @# G. [0 g: ?收工！！！ 翻译后记：俺一直用Softice，没用过OllyDbg，所以有些内容不知道是否准确，再者水平有限，如有错误，请各位大虾指点！！ 8 J$ ]' A$ k! `; X! p- k9 Z # h% T$ v$ A# v