您的位置:首页精文荟萃破解文章 → 自动脱壳之ProcDump应用文章二

自动脱壳之ProcDump应用文章二

时间:2004/10/15 0:51:00来源:本站整理作者:蓝点我要评论(0)

 

ProcDump应用文章二


 今天,在吴朝相的网页上看到一篇由台湾的 Peter's 写的关于脱壳的文章,里面提的了 Procdump1.50 的使用,但由于所写的内容比较地肤浅,并没有交待到 Procdump1.50 的强大之处,同时由于最近在网上的软件,加壳之风日盛,如果作为一个 Cracker ,不跟着时代走,可 能在不久的将来,你就没有什么软件可以修改了,所以一定要在加脱方法下点苦功才行,为此, 小弟想把一月来学习到的脱壳技术 Post 出来,让大家了解一下在 Windows 上是如何进行软件脱 壳的,同时也想向大家介绍强大的 Procdump1.50 是如何使用的,如何用它来进行手动脱壳的, 如何扩展自已的 Procdump1.50 的脱壳种类。但由于小弟在脱壳方面还是新手,如果文章中有错误之处,请来信指教。



读者要求:



你可以阅读和传播本文章,但不能对文章的内容作任何的修改,请尊重作者的劳动。



首先我们要先准备我们的工具:


1.Procdump1.50


2.Ultraedit6.10 (这个你也可以用别的编辑器)


3.Winsoftice4.0


4.Trw0.75


5.MakePE1.27


6.Wdasm8.93


好了!工具都准备齐全了,我们就去下载一个实验品吧!今次我们选的是UPX ,在 Procdump1.50 的脱壳文件列表中,你可以清楚地看到有 UPX 的选项,所以我们今次就选它了,目前它的最新版本 0.82 ,好了下载完毕了,我们先用它来为软件加一个脱吧!

操作:


1. windows 上打开一个 Dos 窗口 , 进入 UPX0.82 所在的目录;


2. 输入 upx  [ 要加壳的文件路径和文件名 ]


3.OK! 加壳成功了!



好了!现在可以试一试脱壳了!



操作:


1. 运行 Procdump1.50


2. Unpack 按钮,这时就出现了 Choose Unpacker 窗口;


3. 在窗口中选择 UPX ,这时就会跳出一个选择你要脱壳文件的选择窗口;


4. 按下打开,哦天啊!好痛苦啊!程序没有脱壳竟然运行了, Procdump1.50 提示一个错


误发生在 script 的第一行。


以上的所有操作,是对自动脱壳来说的,基本上的自动脱壳的操作都是这样的。好了,难道就这样没有戏唱了吗?作者写文章那会就写这几十行废话呢?请接着看下面的吧! 好了,看一看它没有没防住 winsoftice 呢?重新启动机器,换一个有安装 winsoftice windows 平台 吧!再次运行被加脱了的程序,还好!没有当掉 winsoftice ,这样心中暗喜,你有难了啊!看来外 国人写的东西还是比较有善,不象 Ding Boy 的幻影系列,比小燕子还凶( ^o^ ,又说 Ding Boy 的坏 话了,其实有时我觉得他比较象 Crack 的小燕子,令人又爱又恨)。好了关闭程序,用 winsoftice 载入去,唉刚刚还说好呢!原来它还是对 winsoftice 作了一点小动作, winsoftice 不能中断于程序的入口的第一句处。没有关系,现在有三种方法,第一种方法是通过对程序的 exe 文件作一点修改, 使其符合标准的 PE 文件格式,因为 winsoftice 毕竟不是专为 Crack 设计的,所以它的中断程序入口 是针对标准的 PE 文件格式来写的,对于那些不符合的,它就没有能力了,具体的 PE 文件格式,大 家可以看一看 VC 中的 MSDN 中的帮助和 WINNT.H 中的解释;第二种方法就是不用 winsoftice ,而用 TRW ,因为刘涛涛先生的 TRW 是专为 Crack 设计的,所以几乎所有可以在 Windows 上运行的程序,它 都可以中断得了;第三种方法,就是在原 exe 文件中加插 int 3 语句,令 winsoftice 强行中断。   好了,方法说了一大罗,我们就用最简单的方法吧!没人会有简单的不用,去用最繁的,如果有吧!大家就。。。。。。。。


运行 TRW0.75 ,选择菜单中的 TRNEWTCB 命令,然后运行加脱的程序,程序马上中断于第一句了。


具体如下:


0137:0043D100  PUSHAD                  程序会中断于这里


0137:0043D101  MOV       ESI,0042B0D9


0137:0043D106  LEA       EDI,[ESI+FFFD5F27]


0137:0043D10C  PUSH      EDI


0137:0043D10D  OR        EBP,-01


0137:0043D110  JMP       0043D122           跳到解压程序


0137:0043D112  NOP


0137:0043D113  NOP



解压程序的入口:


0137:0043D122  8B1E                MOV       EBX,[ESI]


0137:0043D124  83EEFC            SUB        ESI,-04


0137:0043D127  11DB                ADC        EBX,EBX


0137:0043D129  72ED                JB           0043D118


0137:0043D12B  B801000000      MOV       EAX,00000001


0137:0043D130  01DB                ADD        EBX,EBX


0137:0043D132  7507                 JNZ         0043D13B


0137:0043D134  8B1E                MOV       EBX,[ESI]


好了在解压程序里面,程序会做无数次的循环,我没有必要了解它是如何进行加压的,所以就把光标一直向下走,一直走到这里:


0137:0043D250  EBD6                JMP       0043D228


0137:0043D252  61                    POPAD


0137:0043D253  C3                     RET


0137:0043D254  61                     POPAD


0137:0043D255  E9D6A1FDFF    JMP       00417430         这就是程序的真正入口了


0137:0043D25A  0000                 ADD       [EAX],AL


0137:0043D25C  0000                 ADD       [EAX],AL


0137:0043D25E  0000                 ADD       [EAX],AL

好开心啊!终于找到了入口地址,如果你只是针对某一个特定的程序而脱壳的,那么现在就可以 TRW pedump 命令直接脱壳了,但这不是我们所要的,我们现在是要研究 UPX0.82 的壳,要写一个通用的脱壳 ini 加入到 Procdump1.50 里面,那么,这样你以后就可以很方便脱掉 UPX0.82 的脱了,同时也很方便网上传播了,让别人也能分享你的成果,这才是真正的 Cracker 精神。


操作:


1. Ultraedit6.10 打开 Procdump1.50 目录下的 Script.ini 文件;


它的格式如下:


[INDEX]


P1=Hasiuk/NeoLite


P2=PESHiELD


P3=Standard


P4=Shrinker 3.3


P5=Wwpack32 I


P6=Manolo


P7=Petite<1.3


P8=Wwpack32 II


P9=Vbox Dialog


PA=Vbox Std


PB=Petite 1.x


PC=Shrinker 3.2


PD=PEPack


PE=UPX                          修改为 PE=UPX<0.7X


PF=Aspack<108


P10=SoftSentry


P11=CodeSafe 3.X


P12=Aspack108


P13=Neolite2


P14=Aspack108.2


P15=Petite 2.0


P16=Sentinel


P17=PKLiTE


P18=Petite 2.1


P19=PCShrink


P1A=PCGUARD v2.10


P1B=Aspack108.3


P1C=Shrinker 3.4


P1D=UPX0.7X-0.8X      加入这句



然后找到:


[UPX]                        修改为 [UPX<0.7X]



然后在文件最下面加入:


[UPX0.7X-0.8X]


好了,准备功夫我们都做好了,现在可以写 UPX0.82 的脱壳扩展了,首先我们可以见到程序有两个跳动的地方,第一个是:

0137:0043D110  JMP       0043D122           跳到解压程序


所以我们马上把机器代码抄下来:


EB,10


第二个是:


0137:0043D255  E9D6A1FDFF    JMP       00417430         这就是程序的真正入口了


机器代码就是:


E9,D6,A1,FD,FF



好了,所有的要找到东西我们都已经找到了,我们就开始编写 UPX0.82 的脱壳扩展了。


我编写的具体如下:


[UPX0.7X-0.8X]


L1=OBJR                                    ; 在扫描开始处设置初始的内存地址


L2=LOOK EB,10            ; 查找第一个 EB,10 程序代码


L3=BP                                        ; 在当前内存位置设置断点


L4=WALK                                    ; 交还控制权到 Procdump 并且执行下一个指令


L5=OBJR                                    ; 在扫描开始处设置初始的内存地址


L6=LOOK 61,E9                       ; 查找第一个 EB,10 程序代码


L7=BP                                        ; 在当前内存位置设置断点


L8=STEP                                    ; 一步一步地跟踪分析程式


好了,以上的解释都很清楚了,没有什么不明白了,我们把文件保存后,再次运行 Procdump1.50 Choose Unpacker 中可以见到多了一个 UPX0.7X-0.8X 项了,选择它,进行脱我们加了脱的程序, 哈哈,叫我们保存了,你可以不要高兴得太早了,你试一试运行 dump 程序,哦不能运行,非法操作。 不要心急,我们好象还有点东西要加上呢!那就是 dump 的可选参数了, Procdump1.50 一共给我们 提供了五组可选参数,如果你没有特别指出,就用默认值。好我们加上去试一试吧!


OPTL1=00000000


OPTL2=01010001


OPTL3=01010001


OPTL4=00030000


OPTL5=00000000


  以上这五参数是最常用的,你加参数时可要先试试,或者加了之后就可以用了,好我们加上,试一试。

以下文章所述,可能在有的机器上有不同的结果,请自行修正:


作者的机器是:


赛扬 300A (超 450


PC100-64M 内存

当我再次运行 Procdump1.50 来脱壳程序时,竟然程序一下子就运行了,根本不象上次那样提示要我保存 脱壳后的文件,所以我想,可能这些参数有些不合适我的机器,于是我认真分析了每一个参数的真正含义之后,就把参数作了如下的修改:


OPTL1=00000001         这是延迟时间,我设为 1ms 


OPTL2=01010101         采用了快速 dump 的工作方式


OPTL3=01010001


OPTL4=00030000


OPTL5=00000000


今次再运行 Procdump1.50 进行脱壳,哈哈!!!可以脱了,然后再双击脱壳后的文件,咦,可以执行了, 再用 Wdasm8.93 反汇编分析一下文件,发现基本和原文件相同,只是文件大小有点不同,大了一点,再用了一下软件的各种功能,一切正常,所以应该说脱壳是成功的,到此,文章也该在此结束了,不过好象还漏了点事,就是用 MakePe1.27 帮助脱壳后的文件作进一步的优化,这就不一一描述了 ,自己看帮助进 行吧! 好了,最后总结一下吧!

完整地加入:


[UPX0.7X-0.8X]


L1=OBJR


L2=LOOK EB,10


L3=BP


L4=WALK


L5=OBJR


L6=LOOK 61,E9


L7=BP


L8=STEP


OPTL1=00000001


OPTL2=01010101


OPTL3=01010001


OPTL4=00030000


OPTL5=00000000



By The Way


我发现对于使用 UPX0.7x UPX0.8x 加壳的软件,用我的方法都可以成功脱壳。


    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程