WILLSOFT STUDIO

PESpin1.32全保护脱壳演示

ximo178911980@yahoo.com.cn(admin) — Fri,26 Dec 2008 23:09:49 +0800

本动画只是简单的演示下全保护的脱壳步骤
只有操作,没怎么讲原理,要看具体原理和讲解的,请参看下面的这些文章:

1.http://www.54soft.com.cn/article.asp?id=108
2.http://www.54soft.com.cn/article.asp?id=109
3.http://www.54soft.com.cn/article.asp?id=110
4.http://www.54soft.com.cn/article.asp?id=111

动画下载地址:
http://www.rayfile.com/zh-cn/files/cef90780-d2ff-11dd-8298-0014221b798a/

PESpin1.32学习笔记之Debug Blocker的处理

ximo178911980@yahoo.com.cn(admin) — Fri,26 Dec 2008 22:50:06 +0800

“宝剑锋从磨砺出,梅花香自苦寒来。”

此文仅讲述Debug Blocker,故加壳选项仅为最后一个Debug Blocker.如下图

运行加壳后的程序,然后观看任务管理器:

发现有2个NotePad.exe进程。有此可知，此壳为双进程保护。

OD载入后，F8，2次后，用ESP定律，发现程序跑飞了。因此，以前的以及其他保护方式的脱壳方法，均不适用。

由于是双进程保护的壳，故下断点CreateMutexA

CTRL+G，输入CreateMutexA

然后拉倒此函数的末端，也就是retn 0C处

接着F2下断，SHIFT+F9运行。中断后取消断点。然后F7进入。

如图，返回后F8单步走。并在0040FDF6处，把标志位Z的值改为1，以此来欺骗外壳，不再创建新进程里处理。
继续F8向下走

来到这里，观察下代码。很明显的发现
0040FE5A - 0F83 8B85C66C jnb 6D0783EB
这句代码，很明显的花指令
除去0F83这2个字节，直接来到0040FE5A+2=0040FE5C处，发现此处的代码才是规则的。

此处的处理不是下断再运行，而是直接再此处新建EIP，因为若下断，运行后，程序会因为异常而退出，并不会断下来。

CTRL+S，查找命令序列
int1
xchg edi,ebx
push edi
retn

找到后，F2下断，F9运行，中断后取消断点。

观察堆栈的值：

OD的反汇编窗口中，定位到第一行处的值，0040D6AD

此处的处理仍然是新建EIP。

由于刚才的代码处有入栈操作，故ESP=ESP-4
为了平衡堆栈，把ESP的值修改为ESP+4

到这里后，双进程的处理已经全部完毕。之后，如果还有其他的保护方式，就可以正常的去处理了。

为了方便操作，可以写个简单的脚本来处理：

程序代码

////////////////////////////////////////////////////////////
/// PESpin1.32双进程处理脚本                             ///
/// by 徐超(ximo) QQ:178911980                           ///
/// http://www.54soft.com.cn                             ///
///    http://www.52pojie.net                               ///
///                                                      ///
///                             2008.12.23                ///
////////////////////////////////////////////////////////////

gpa "CreateMutexA","Kernel32.dll"
cmp $RESULT,0
je error
find $RESULT, #C20C00#
bp $RESULT
esto
bc $RESULT
sti
find eip,#3BC39C#
add $RESULT,2
bp $RESULT
esto
mov !ZF,1
bc $RESULT
add $RESULT,47
bp $RESULT
esto
bc $RESULT
add $RESULT,1F
mov eip,$RESULT
find eip,#F187DF57C3558BECC745FC00000000C745F800000000#
cmp $RESULT,0
je error
bp $RESULT
esto
bc $RESULT
mov eip,[esp]
add esp,4
msg "双进程处理完毕，请继续进行其他的操作！"
ret

error:
msg "脚本运行错误"
ret

由于此试炼品我没加其他的选项，故我就用最快的方法到达OEP吧
ALT+M，打开内存镜像，在.code（00401000）段F2下断，SHIFT+F9，即可到达OEP。

首先看下IAT，理论上因为我没加IAT的保护选项，但查找IAT后发现，IAT并不完整和连续。在看OEP处的代码，
004010D3 call dword ptr ds:[410EE8] ; kernel32.GetCommandLineA

由于是98记事本，于是方便了我们的学习。拿未加壳的程序比对下：
004010D3 call dword ptr ds:[4063E0] ; kernel32.GetCommandLineA

很显然，IAT的地址发生的偏移动。
此部分，手动修复比较麻烦。我就用工具来进行处理。
拿起强大的UIF.

简单的填写：
Process ID填该调试进程的进程号：A44
这个值可以用LordPE来查看

New IAT VA填要转移到的地址，可以ALT+M打开内存镜像，一般选择大小比较大的段

我选择00406000这段

填完后点Start，UIF就会自动处理了。

修复完后，看OEP处的代码还是非常怕人，当初也是手足无策，后来才知道，是因为Nanomites的原因所导致。
Nanomites的手动修复和穿山甲的Nanomites(CC)保护一样，是个体力活。
PESpin的Nanomites的形式一般有以下2种：
mov或者je/jne的形式
由于有专门修复工具Nanomites的工具，给我们的修复带来了极大的方便。
感谢AT4RE组织的Zool，写出这么好的工具，膜拜~
此时，我们首先dump下此程序，然后用Import-REC修复下。

最后当然是转存修复了！

当然此时修复后，程序是肯定无法正常运行的，原因刚才说了，Nanomites所致。

下面就来修复下Nanomites。

打开修复工具：

选择修复完IAT的那个文件。即可自动修复完Nanomites！

再运行下修复后的程序，发现已经可以正常运行了

脱壳到此结束。

总结：总体来说，脱这个壳主要借助了工具：UIF和Nanomites修复工具。没有这2个工具，脱壳就没这么容易了，当然，也完全可以自己写脚本处理掉。除此，双进程的处理也不是相信的中的那么难。耐下心来，仔细分析，还是能找到突破口的。

引：
天将降大任于是人也，必先苦其心志，劳其筋骨，饿其体肤，空乏其身，行拂乱其所为。
——《孟子•告子下》
人总在不断的失败中成长起来来，牢记孟子的话。以此和大家共勉！

作者：ximo/[LCG]

点击下载此文件

PESpin1.32学习笔记之Code Redirection的处理

ximo178911980@yahoo.com.cn(admin) — Fri,26 Dec 2008 22:41:43 +0800

百川东到海,何时复西归？少壮不努力,老大徒伤悲。
--------汉乐府《长歌行》

本文章仅讲述Code Redirection的处理方法，故加壳选项如下：

加壳的对象，依然是98记事本。

OD载入后，F8单步2次后，即可使用ESP定律，然后再F8向下走，即可来到OEP！

来到OEP后，依然可以发现IAT的地址偏移了。
依旧使用UIF来进行处理

处理完后，dump，并用Imort REC来处理

处理完后，运行，出现错误提示，郁闷~

下面来看看具体是哪出现了问题吧。（为了比较，先别关闭原来那个调试的OD）

OD载入那个dump并修复后的程序，然后不忽略任何异常

接着F9运行，中断下来了。

晕，此处的代码怎么全是空代码？无语……
看堆栈，回朔回去看看吧

回朔回的地址是00401140.

CTRL+G，输入00401140，看下代码

汗，原来是0040113B处的那个CALL出问题了。

和加壳后的程序比对一下看看。

原OD中定位到0040113B

跟随进去这个CALL

继续跟随：

哈，现在终于明白了，原来，真实的代码是：

call 004020B3

修复后，保存。还是出现错误。继续同样处理。

可以看到，被重定位的代码形式为：
CALL型（E8）和JMP型（E9）

知道了原理，我们就在原来的那个程序里来进行处理吧。

二种类型的处理：

（1）CALL型的处理
CTRL+B，查找E8，（若发现无异常，就CTRL+L继续查找）

举例来看这个：

下面来找真实的CALL地址。

跟随进入这个CALL

其实，真正的调用地址已经很明显了，是004023DD。
为了更清楚的看到，继续跟随进入

看，这才是真正的起作用的代码呀。

把那个变形CALL的修正为 CALL 004023DD

这样就修复完毕了。其他的变形CALL，用同样的方法来进行处理！

（2）JMP型的处理

CTRL+B，查找E9（若发现无异常，就CTRL+L继续查找）
举例来看这个：

很明显，代码同样变形了。变形的字节为
E9 29 F0 FF FF 90 90，一共为7个字节。
那么，真实的代码是什么呢？
跟随进这个JMP吧

可以发现，真实的代码应该为cmp dword ptr ds:[4057B8],0
数一下字节数，真好为7个，和刚才所数的个数一致！
很好，因此，把地址00401150处的真实代码修正为cmp dword ptr ds:[4057B8],0

其他的变形代码用同样的方法进行处理~

原理都说完了，但是可以发现，被变形的代码实在太多，虽然，修复起来难度不大，但是，劳动量实在太大，是个体力活。
如果写个脚本来处理就好多了。
哈，我自己懒得写，况且能力有限，就直接套用别的大牛写的脚本。嘿嘿~

附上Code Redirection的修复脚本：

程序代码

var begin
var end
var tmp
var dest
var code
var dest2
var count

mov begin, 400000 // lowest possible jmp/call destination
mov end, 40a000 // highest possible jmp/call destination
mov start, 401000 // start here to search for jmps/calls

__jmpstart:
mov count, 0 // clear safety counter
mov tmp, start // set starting point

__findjmp:
findop tmp, #e9# // find first jmp
mov tmp, $RESULT
cmp tmp, 0
je __goon // if script couldn't find it, go on

inc tmp // get the destination of the jmp
mov dest, [tmp]
add dest, tmp
add dest, 4

cmp dest, begin // check if destination is in range
jbe __findjmp
cmp dest, end
jae __findjmp

findop dest, #e9# // check if destination has syntax
sub $RESULT, dest // ?? ?? ?? ?? ?? e9 ?? ?? ?? ?? (5 bytes stolen and jmp back)
cmp $RESULT, 5 // saying, distance to next jmp must be 5
jne __findjmp // if not go on searching

dec tmp // copy first stolen byte
mov al, [dest]
mov [tmp], al

inc tmp
inc dest

mov code, [dest] // copy last 4 stolen bytes, as dword
mov [tmp], code

inc count // increment safety counter (counts restored jmps)
jmp __findjmp // let the search go on

__goon:
cmp count, 0 // continue searching jmps as long as the counter is not 0
jne __jmpstart // (make sure all have been resolved, necessary!)

mov tmp, start // reset starting point

__findcall:
findop tmp, #e8# // search calls
mov tmp, $RESULT
cmp tmp, 0
je __end

inc tmp
mov dest, [tmp]
add dest, tmp
add dest, 4

cmp dest, begin // check range of destination
jbe __findcall
cmp dest, end
jae __findcall

findop dest, #e9# // check if call points to a jmp, else it's no stolen code
cmp dest, $RESULT
jne __findcall

inc dest
mov dest2, dest
mov dest2, [dest2] // save destination of jmp in dest2
add dest2, dest // subtract the offset from jmp
add dest2, 4

sub dest2, tmp // calculate offset from call
sub dest2, 4

dec tmp
mov [tmp], #e8# // let there be a call

inc tmp
mov [tmp], dest2 // save new offset to destination
add tmp, 4

jmp __findcall // the search goes on :)

__end:
ret // finished

OK，跑一下脚本后，所有的变形代码一般都能修复完毕了。
此时再dump,修复，发现，程序能正常运行了，哈

此保护的处理方法就这样，脱壳到此结束。

补充一下：
修复后的程序，虽然能正常运行，但是点退出后，可能会出现错误。（我机子上这样）
原因是还有个别几个变形代码没处理好。用上面说所的方法手动处理一下吧，反正也不多。处理后，就一切正常了。

脱壳总结：
Code Redirection这个保护方式处理起来比API Redirection的保护方式相对来说简单好多，但是这个保护，更加考验一个人的耐利，因为大部分工作是体力活，同时也体现了脚本的重要性！简单小结下脱壳的步骤：ESP定律来到OEP处，然后用UIF处理IAT，处理完后，跑下Code Redirection处理脚本，接着就dump和修复，脱壳完毕！

引：
学然后知不足，教然后知困。知不足，然后能自反也；知困，然后能自强也。
——孔丘（春秋时代思想家，教育家）引自《礼记。学记》

作者：ximo[LCG]

点击下载此文件

PESpin1.32学习笔记之API Redirection的处理

ximo178911980@yahoo.com.cn(admin) — Fri,26 Dec 2008 22:33:58 +0800

“一个有信念者所开发出的力量，大于99个只有兴趣者”

本文章主要讲述PESpin1.32的API Redirection的处理方法，加壳选项如图：

而试炼品依然为98记事本.

OD载入程序，F8单步2次后，即可使用ESP定律法

下完硬件断点后，SHIFT+F9运行，来到下面的地方。（为了方便后面的调试，ESP处的硬件断点暂时不要删除！）

接下来F8单步走，即可来到OEP！

OEP：

来到OEP后，很明显的发现，API被重定位了。
众所周知，98记事本是个VC++的程序，当然，从入口代码来看，也很显然是VC++的入口点。
随便找个VC++的程序，即可知道，代码：
004010D3    FF15 E80E4100        call dword ptr ds:[410EE8]

处应该调用一个系统API函数。而具体为什么函数，也可以靠经验去猜测。

当然，也可以这么看，跟入这个CALL，去看下里面的东西：

跟随后可以发现下面的代码：

其实，有经验的朋友一眼就能发现，此API函数即为GetCommandLineA
当然，此试炼品为98记事本，找未加壳的程序比对下：
004010D3
FF15 E0634000        call dword ptr ds:[<&KERNEL32.GetCommandLineA>]    ; kernel32.GetCommandLineA

也可知，此API函数为GetCommandLineA

好，知道了此函数，就方便了我们的调试
CTRL+F2，重新载入程序
在数据窗口处CTRL+G，输入GetCommandLineA

然后，下硬件访问断点

下完断点后，SHIFT+F9运行，5次后，取消该硬件断点

然后F8结合F7一路走，直到来到代码
mov dword ptr ds:[edi],eax的地方

而此处，即为最佳的patch代码的地方！

由于离OEP最近的哪个API不一定是RVA的起始位置，为了把所有的API都处理，故在此处先下个硬件执行断点，接着CTRL+F2重新载入程序，接着SHIFT+F9，再次来到这个最佳地点！

来到后，我们找块空地，patch代码
我们可以用隐藏OD的插件来申请一段空地

申请的新空间的地址为00930000

然后先记录下patch地址处的原始代码：
0040D18A    8907                 mov dword ptr ds:[edi],eax              ;
0040D18C    EB 02                jmp short NotePad_.0040D190

二进制代码为：
89 07 EB 02

然后，把0040D18A处的代码修改为
Jmp 00930000

然后来到00930000处patch我们的代码
具体的代码为什么，我们来看堆栈处：
在堆栈的EIP的所在处往上找

可以发现，出现了SHELL32这个系统DLL，那具体的偏移地址为多少呢？我们可以双击EIP处的地址栏，就会出现以EIP处为原点的偏移值

由于堆栈所指向的值为ESP的值，故此处应为ESP-3C
而下面一行ESP-38的值为偏移大小
也就是说，真正的地址为
Address=[ESP-3C]-[ESP-38]
以此函数为例，真正的地址=7D6110D7-0000000F=7D6110C8

所以patch如下代码：

mov eax,[esp-3c]
sub eax,[esp-38]

接着就输入刚才记下的原始代码：
mov dword ptr ds:[edi],eax
jmp 0040D190

全部二进制代码如下：
8B 44 24 C4 2B 44 24 C8 89 07 E9 81 D1 AD FF
Patch完代码后，在第一行下F2断点，接着SHIFT+F9运行
断下后，F8，2次后，即可在寄存器窗口的EAX值处看到正确的API函数了

OK，被重定位的API全部回来了，好极了！下面就取消所有除了原始的ESP处的那个断点，
SHIFT+F9运行，中断后，F8单步走，即可顺利来到OEP了！
而此时可以发现，OEP处，所以的API都回来了

哈，下面就可以dump程序了。
然后用Import REC修复
修复时可能会出现下面的问题
输入OEP的值10CC后，会出现下面的错误

可以用下面的方法来解决。
右键----高级命令------获取API调用，然后按确定就OK

按确定后，会发现，所有的IAT都出来，而且全部有效

最后就是转存修复了。当然也得注意2个问题
（1）    别忘了把OEP处的值修正为10CC
（2）    改下Import-REC的选项，如下图

最后，转存修复！然后程序就能正常运行了！

脱壳过程到此结束！

总结一下：脱壳的过程并不难，关键是如何定位和找到最佳的patch地点，以及如何自己patch代码，由此可见，汇编基础的重要性！应验了某大牛的一句话：不会汇编的人，学脱壳破解永远是菜鸟。同时，也要注意下Import-REC的几个使用下技巧！

引：
今日复今日，今日何其少！今日又不为，此事何时了！人生百年几今日，今日不为真可惜！若言姑待明朝至，明朝又有明朝事。为君聊赋今日诗，努力请从今日始。
------文嘉《今日诗》

珍惜时间，珍爱生命，努力学习，努力拼搏！

作者：ximo[LCG]

点击下载此文件

PESpin1.32学习笔记之Antidump及Remove OEP的处理

ximo178911980@yahoo.com.cn(admin) — Fri,26 Dec 2008 22:25:52 +0800

人的天才只是火花，要想使它成熊熊火焰，哪就只有学习！学习！！！
——高尔基

由于Antidump和Remove OEP的保护方式处理起来都比较简单，故同时加上这个保护方式：

对象依旧是98记事本。

OD载入后，F8单步2次后使用ESP定律，来到下面地方：

代码比较乱，我们来去除下花指令，方便我们看被抽取的代码：

去除完花指令后，代码就清晰多了。
接着F8走下去，就可以看见stolen code了

找到所有的stolen code,整理下，二进制代码为：
55 8B EC 83 EC 44 56 FF 15 E8 0E 41 00 8B F0 8A 00 3C 22
哈，还比较厚道，抽取的代码并不多，接着，下面的JMP就跳到foep去了。

来到OEP后，补上被抽取的代码，然后，在第一句新建EIP

接着，再用UIF处理下IAT

处理完后，dump程序，再用Import REC修复一下程序。
程序就可以正常运行了。

哈，脱壳就到此结束了。

简单总结下：
此2保护方式都非常简单，基本的步骤就是用ESP定律，然后找回所有的stolen code,接着来到foep处，补上所有的代码，然后用UIF修复下IAT，最后dump和修复就OK。

引：
少而好学，如日出之阳；壮而好学，如日中之光；老而好学，如炳烛之明。
-------刘向（西汉经学家，文学家）引自〈说苑〉

作者：ximo[LCG]

点击下载此文件

发2个Obsidium的语音脱壳教程

ximo178911980@yahoo.com.cn(admin) — Mon,24 Nov 2008 20:56:27 +0800

抽空做了2个OB的脱壳教程,在这分享给大家.

Obsidium脱壳教程之一
主要内容是1.2版本的IAT处理方法
下载地址:
http://www.rayfile.com/zh-cn/files/56ef3afd-ad91-11dd-8460-0014221b798a/

Obsidium脱壳教程之二
主要内容是1.3.0.4版本的IAT的修复,以及重定位的处理.
下载地址:
http://www.rayfile.com/zh-cn/files/882cf651-b96e-11dd-82d9-0014221b798a/