今天,在吴朝相的网页上看到一篇由台湾的 Peter's 写的关于脱壳的文章,里面提 及 到 的了 Procdump1.50 的使用,但由于所写的内容比较地肤浅,并没有交待到 Procdump1.50 的强 大之处,同时由于最近在网上的软件,加壳之风日盛,如果作为一个 Cracker ,不跟着时代走,可 能在不久的将来,你就没有什么软件可以修改了,所以一定要在加脱方法下点苦功才行,为此, 小弟想把一月来学习到的脱壳技术 Post 出来,让大家了解一下在 Windows 上是如何进行软件脱 壳的,同时也想向大家介绍强大的 Procdump1.50 是如何使用的,如何用它来进行手动脱壳的, 如何扩展自已的 Procdump1.50 的脱壳种类。但由于小弟在脱壳方面还是新手,如果文章中有 错误之处,请来信指教。
读者要求:
你可以阅读和传播本文章,但不能对文章的内容作任何的修改,请尊重作者的劳动。
首先我们要先准备我们的工具:
1.Procdump1.50
2.Ultraedit6.10 (这个你也可以用别的编辑器)
3.Winsoftice4.0
4.Trw0.75
5.MakePE1.27
6.Wdasm8.93
好了!工具都准备齐全了,我们就去下载一个实验品吧!今次我们选的 是UPX ,在 Procdump1.50 的脱壳文件列表中,你可以清楚地看到有 UPX 的选项,所以我们今次就选 它了,目前它的最新版本 是 0.82 ,好了下载完毕了,我们先用它来为软件加一个脱吧!操作:
1. 在 windows 上打开一个 Dos 窗口 , 进入 UPX0.82 所在的目录;
2. 输入 upx [ 要加壳的文件路径和文件名 ]
3.OK! 加壳成功了!
好了!现在可以试一试脱壳了!
操作:
1. 运行 Procdump1.50 ;
2. 按 Unpack 按钮,这时就出现了 Choose Unpacker 窗口;
3. 在窗口中选择 UPX ,这时就会跳出一个选择你要脱壳文件的选择窗口;
4. 按下打开,哦天啊!好痛苦啊!程序没有脱壳竟然运行了, Procdump1.50 提示一个错
误发生在 script 的第一行。
以上的所有操作,是对自动脱壳来说的,基本上的自动脱壳的操作都是这样的。好了,难道 就这样 没有戏唱了吗?作者写文章那会就写这几十行废话呢?请接着看下面的吧! 好了,看一看它没有没防住 winsoftice 呢?重新启动机器,换一个有安装 winsoftice 的 windows 平台 吧!再次运行被加脱了的程序,还好!没有当掉 winsoftice ,这样心 中暗喜,你有难了啊!看来外 国人写的东西还是比较有善,不象 Ding Boy 的幻影系列, 比小燕子还凶( ^o^ ,又说 Ding Boy 的坏 话了,其实有时我觉得他比较象 Crack 界 的小燕子,令人又爱又恨)。好了关闭程序,用 winsoftice 载入去,唉刚刚还说好呢! 原来它还是对 winsoftice 作了一点小动作, winsoftice 不能中断于程序的 入口的第一 句处。没有关系,现在有三种方法,第一种方法是通过对程序的 exe 文件作一点修改, 使其符合标准的 PE 文件格式,因为 winsoftice 毕竟不是专为 Crack 设计的,所以它 的中断程序入口 是针对标准的 PE 文件格式来写的,对于那些不符合的,它就没有能力了 ,具体的 PE 文件格式,大 家可以看一看 VC 中的 MSDN 中的帮助和 WINNT.H 中的解释 ;第二种方法就是不用 winsoftice ,而用 TRW ,因为刘涛涛先生的 TRW 是专为 Crack 设计的,所以几乎所有可以在 Windows 上运行的程序,它 都可以中断得了;第三种方法 ,就是在原 exe 文件中加插 int 3 语句,令 winsoftice 强行中断。 好了,方法说了一大罗,我们就用最简单的方法吧!没人会有简单的不用,去用最繁的 ,如果有 吧!大家就。。。。。。。。运行 TRW0.75 ,选择菜单中的 TRNEWTCB 命令,然后运行加脱的程序,程序马上中断于第一句了。
具体如下:
0137:0043D100 PUSHAD 程序会中断于这里
0137:0043D101 MOV ESI,0042B0D9
0137:0043D106 LEA EDI,[ESI+FFFD5F27]
0137:0043D10C PUSH EDI
0137:0043D10D OR EBP,-01
0137:0043D110 JMP 0043D122 跳到解压程序
0137:0043D112 NOP
0137:0043D113 NOP
解压程序的入口:
0137:0043D122 8B1E MOV EBX,[ESI]
0137:0043D124 83EEFC SUB ESI,-04
0137:0043D127 11DB ADC EBX,EBX
0137:0043D129 72ED JB 0043D118
0137:0043D12B B801000000 MOV EAX,00000001
0137:0043D130 01DB ADD EBX,EBX
0137:0043D132 7507 JNZ 0043D13B
0137:0043D134 8B1E MOV EBX,[ESI]
好了在解压程序里面,程序会做无数次的循环,我没有必要了解它是如何进行加压的,所以 就把 光标一直向下走,一直走到这里:0137:0043D250 EBD6 JMP 0043D228
0137:0043D252 61 POPAD
0137:0043D253 C3 RET
0137:0043D254 61 POPAD
0137:0043D255 E9D6A1FDFF JMP 00417430 这就是程序的真正入口了
0137:0043D25A 0000 ADD [EAX],AL
0137:0043D25C 0000 ADD [EAX],AL
0137:0043D25E 0000 ADD [EAX],AL
好开心啊!终于找到了入口地址,如果你只是针对某一个特定的程序而脱壳的,那么现在就 可以 用 TRW 的 pedump 命令直接脱壳了,但这不是我们所要的,我们现在是要研究 UPX0.82 的壳,要写 一个通用的脱壳 ini 加入到 Procdump1.50 里面,那么,这样你以 后就可以很方便脱掉 UPX0.82 所 的脱了,同时也很方便网上传播了,让别人也能分享你 的成果,这才是真正的 Cracker 精神。操作:
1. 用 Ultraedit6.10 打开 Procdump1.50 目录下的 Script.ini 文件;
它的格式如下:
[INDEX]
P1=Hasiuk/NeoLite
P2=PESHiELD
P3=Standard
P4=Shrinker 3.3
P5=Wwpack32 I
P6=Manolo
P7=Petite<1.3
P8=Wwpack32 II
P9=Vbox Dialog
PA=Vbox Std
PB=Petite 1.x
PC=Shrinker 3.2
PD=PEPack
PE=UPX 修改为 PE=UPX<0.7X
PF=Aspack<108
P10=SoftSentry
P11=CodeSafe 3.X
P12=Aspack108
P13=Neolite2
P14=Aspack108.2
P15=Petite 2.0
P16=Sentinel
P17=PKLiTE
P18=Petite 2.1
P19=PCShrink
P1A=PCGUARD v2.10
P1B=Aspack108.3
P1C=Shrinker 3.4
P1D=UPX0.7X-0.8X 加入这句
然后找到:
[UPX] 修改为 [UPX<0.7X]
然后在文件最下面加入:
[UPX0.7X-0.8X]
|