用一个最最简单的ASPack壳为例子,来进行讲解!
我们先来脱一下这个壳吧:
方法一:
00430001 >60pushad //入口点,F8
00430002E8 03000000 call QQ个性网.0043000A //到这后,用ESP定律,下硬件
访问断点
00430007- E9 EB045D45 jmp 45A004F7
0043000C55push ebp
0043000DC3retn
0043000EE8 01000000 call QQ个性网.00430014
00430013EB 5D jmp short QQ个性网.00430072
00430015BB EDFFFFFF mov ebx,-13
0043001A03DDadd ebx,ebp
0043001C81EB 00000300 sub ebx,30000
0043002283BD 22040000 0>cmp dword ptr ss:[ebp+422],0
00430029899D 22040000 mov dword ptr ss:[ebp+422],ebx
0043002F0F85 65030000 jnz QQ个性网.0043039A
004300358D85 2E040000 lea eax,dword ptr ss:[ebp+42E]
下完硬件断点后,F9运行,来到这
004303B0 /75 08 jnz short QQ个性网.004303BA //来到这。接着F8
004303B2 |B8 01000000 mov eax,1
004303B7 |C2 0C00 retn 0C
004303BA \68 D4124000 push QQ个性网.004012D4; //来到这,接着F8
004303BFC3retn//到这,接着F8
004303C08B85 26040000 mov eax,dword ptr ss:[ebp+426]
004303C68D8D 3B040000 lea ecx,dword ptr ss:[ebp+43B]
004303CC51push ecx
004303CD50push eax
004303CEFF95 490F0000 call dword ptr ss:[ebp+F49]
OK,这就来到OEP了!
004012D468 54474000 push QQ个性网.00404754; 这里就是OEP了!
004012D9E8 F0FFFFFF call QQ个性网.004012CE; jmp 到
004012DE0000add byte ptr ds:[eax],al
004012E00000add byte ptr ds:[eax],al
004012E20000add byte ptr ds:[eax],al
004012E43000xor byte ptr ds:[eax],al
004012E60000add byte ptr ds:[eax],al
004012E848dec eax
004012E90000add byte ptr ds:[eax],al
004012EB0000add byte ptr ds:[eax],al
好的,我们来总结一下吧:
1、单步F8
2、记录ESP的地址
3、在ESP的地址处,下硬件访问断点
4、接着运行
5、删除硬件断点
6、单步走3次
7、就来到OEP了!
有了这个流程,我们就可以开始写脱壳脚本了,可以这么写:
———————————————————————-
———————————–
///////////////////////////////////////////////////////////////////////
///////////////////////////////
/// ASPack 2.12 -> Alexey Solodovnikov脱壳脚本///
/// 2011.4.3 ///
///////////////////////////////////////////////////////////////////////
////////////////////////////////
var addr//定义一个变量addr
sto //单步,也就是F8
mov addr,esp //把此处ESP的地址给变量addr
bphws addr,"r"//下硬件读取断点,也就是硬件访问断点
run//运行,也就是F9
BPHWC addr //取消断点
sto //单步,也就是F8,第1次
sto //单步,也就是F8,第2次
sto //单步,也就是F8,第3次
cmt eip,"这里就是OEP!"//在EIP处,也就是现在OD停留了位置加注释
MSG "感谢使用此脚本,现在可以脱壳了"//加个对话框,给出一些提示信息
ret//结束脚本
———————————————————————-
———————————–
OK,脚本就这么写完了,相信大家都应该明白了吧。下面接着来方法二!
方法二:
由于是ASPack的壳,所以,我们直接来查找关键代码"popad",写就是"61"
004303AF61popad//查找到这里,在这里下断,为了防止检测,直接下硬件断点,
中断后就F8走吧
004303B075 08 jnz short QQ个性网.004303BA//继续F8
004303B2B8 01000000 mov eax,1
004303B7C2 0C00 retn 0C
004303BA68 00000000 push 0 //F8
004303BFC3retn //F8
004303C08B85 26040000 mov eax,dword ptr ss:[ebp+426]
004303C68D8D 3B040000 lea ecx,dword ptr ss:[ebp+43B]
OK,又来到OEP了!
004012D468 54474000 push QQ个性网.00404754; 这里就是OEP了!
004012D9E8 F0FFFFFF call QQ个性网.004012CE; jmp 到
004012DE0000add byte ptr ds:[eax],al
004012E00000add byte ptr ds:[eax],al
004012E20000add byte ptr ds:[eax],al
004012E43000xor byte ptr ds:[eax],al
004012E60000add byte ptr ds:[eax],al
004012E848dec eax
004012E90000add byte ptr ds:[eax],al
004012EB0000add byte ptr ds:[eax],al
好,我们接着来总结一下:
1、查找16进制数"61",写就是"popad"
2、返回一个查找到的地址
3、在查找到的地方下断点
4、运行
5、取消断点
6、单步4次
7、来到OEP了
有了这个流程,我们又可以来写个简单的脚本了,脚本如下:
———————————————————————-
———————————–
///////////////////////////////////////////////////////////////////////
///////////////////////////////
/// ASPack 2.12 -> Alexey Solodovnikov脱壳脚本 ///
/// by ah伤星///
///www.ccc5.cc///
///http://www.ccc5.cc///
//////
/// 2011.4.3 ///
///////////////////////////////////////////////////////////////////////
///////////////////////////////
findop eip, #61# //查找"61",也就是"popad"
bphws $RESULT, "x" //返回查找到的地址,下硬件执行断点
run //运行
bphwc $RESULT //取消断点
sto//单步,也就是F8,第1次
sto//单步,也就是F8,第2次
sto //单步,也就是F8,第3次
sto//单步,也就是F8,第4次
cmt eip,"这里就是OEP!"//在EIP处,也就是现在OD停留了位置加注释
MSG "感谢使用此脚本,现在可以脱壳了"//加个对话框,给出一些提示信息
ret //结束脚本
———————————————————————-
———————————–
OK,用方法二写的脚本同样完成了!
对比一下,显然方法二比方法一效率更高,更为通用点!
对ASPack分析后,相信大家对写脚本已经有个大概的了解了吧!
好,我们接着来分析下FSG2.0的脚本的写法
通过前面的一些跟踪,我们可以找到如下的关键处:
004001C550push eax
004001C6FF53 10 call dword ptr ds:[ebx+10]
004001C995xchg eax,ebp
004001CA8B07mov eax,dword ptr ds:[edi]
004001CC40inc eax
004001CD^ 78 F3 js short qqspirit.004001C2
004001CF75 03 jnz short qqspirit.004001D4
004001D1- FF63 0C jmp dword ptr ds:[ebx+C] //这里,就跳向OEP了!我们F8
004001D450push eax
来到OEP!
0040A86D55push ebp //OEP
0040A86E8BECmov ebp,esp
0040A8706A FF push -1
0040A87268 78794200 push qqspirit.00427978
0040A87768 F4E14000 push qqspirit.0040E1F4
0040A87C64:A1 00000000mov eax,dword ptr fs:[0]
0040A88250push eax
0040A88364:8925 0000000>mov dword ptr fs:[0],esp
0040A88A83EC 58 sub esp,58
0040A88D53push ebx
0040A88E56push esi
0040A88F57push edi
0040A8908965 E8 mov dword ptr ss:[ebp-18],esp
0040A893FF15 10524200 call dword ptr ds:[425210] ; kernel32.GetVersion
0040A89933D2xor edx,edx
0040A89B8AD4mov dl,ah
我们再来总结一下:
1、查找特征码"FF630C"
2、保险起见,下硬件执行断点
3、取消断点
4、单步F8
5、到达OEP
有了上面的总结,又可以来写个简单的脚本了:
———————————————————————-
———————————–
///////////////////////////////////////////////////////////////////////
/////////////////////////
/// FSG 2.0 -> bart/xt查找OEP脚本///
/// by ah伤星 ///
/// www.ccc5.cc ///
///www.ccc5.cc///
//////
/// 2011.4.3///
///////////////////////////////////////////////////////////////////////
/////////////////////////
findop eip, #FF630C#//查找特征码"FF630C"
bphws $RESULT, "x" //在查找到的地址处,下硬件执行断点
run //运行
bphwc $RESULT //取消断点
sto//单步F8
cmt eip,"这里就是OEP!"//在EIP处,也就是现在OD停留了位置加注释
MSG "感谢使用此脚本,现在可以脱壳了"//加个对话框,给出一些提示信息
ret //结束脚本
———————————————————————-
———————————–
哈哈,脚本到此就结束了,下面的内容就自己脱壳修复了!
通过上面的讲解,大家也都发现了,其实写脚本并不是想象中的难吧!
大家也可以自己尝试着去写UPX啊,北斗啊等一些常见壳的脚本,来练习练手。
—————————————————————————————————————————————————–