其實(shí)殼本身不要緊，問題是vm里面有個(gè)校驗(yàn)。 sm同學(xué)手下留情，我勉強(qiáng)能搞一個(gè)運(yùn)行正常的，沒精力還原vm了。 在virutalfree的retn上f4, 直到[esp]是一個(gè)exe image內(nèi)的地址f7返回: 0040FA91 B8 BE180000 mov eax, 18BE
0040FA96 BA 00004000 mov edx, slv_unpa.00400000
0040FA9B 03C2add eax, edx
0040FA9D - FFE0jmp eax 在jmp eax上f4 f7到oep: 004018BE 68 EA1AF500 push 0F51AEA
004018C3 - E9 EF01B500 jmp 00F51AB7
004018C8 CC int3
004018C9 CC int3 jmp到vm了, 不過這段內(nèi)存不可dump, ctrl f2再來看哪里分配的: bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下: 0040FBB6 6A 40 push 40
0040FBB8 68 00100000 push 1000
0040FBBD 50 push eax
0040FBBE 6A 00 push 0
0040FBC0 FF13call [ebx]; kernel32.VirtualAlloc
0040FBC2 8BD0mov edx, eax
0040FBC4 8BFAmov edi, edx
0040FBC6 8B4E FCmov ecx, [esi-4]
0040FBC9 F3:A4 rep movsb 往下走ecx=000151E9, 復(fù)制一個(gè)unpackme.exe到2.exe, 增加一個(gè)section header: vaddr=0x0022000
vsize=0x20000 加載2.exe在0040FBC2上f4把eax改成422000. 然后按上面到方法走到oep, 用lordpe dump一份(ollydump我從來不成功) dumped.exe
接著用imprec fixdump 生成 3.exe 一運(yùn)行非法了, 點(diǎn)調(diào)試掛上od: 00422CCA 8910mov [eax], edx//eax=00140688
00422CCC E9 0D0E0000 jmp 00423ADE 向上看全是屁股...啊不對, 全是花指令, 不過只有 EB, nop掉: 00422CA4 33C0xor eax, eax
00422CAC AC lodsb
00422CB1 8B1487 mov edx, [edi eax*4]
00422CB7 33C0xor eax, eax
00422CBD AC lodsb
00422CC1 8B0487 mov eax, [edi eax*4]
00422CCA 8910mov [eax], edx
00422CCC E9 0D0E0000 jmp 00423ADE 看樣子只是一個(gè)虛擬機(jī)指令, 好像丟掉東西了. 校驗(yàn)是哪里來的?
想法一：GetFileSize,估計(jì)sm同學(xué)不屑使用,懷著僥幸試一下果然沒有用.
想法二：在某處設(shè)置了標(biāo)記,前面virtualalloc都被釋放掉了,vm段我們也dump了,能在哪呢?
聯(lián)想到sm同學(xué)一貫喜歡在pe header里面插東西, 就看看pe header 加載2.exe在oep的時(shí)候按alt m在pe header上f2果然中斷了訪問[400110]==1000
加載3.exe也中斷了,[400110]==18BE
原來校驗(yàn)了entrypoint, 估計(jì)后面當(dāng)作常數(shù)運(yùn)算了, 因?yàn)樗衚bys都會(huì)把1000作為入口. 解決方案有兩種, 一種寫一段入口代碼把入口改為1000,另一種是挪動(dòng),因?yàn)閷懕Ｗo(hù)不方便,我選擇挪動(dòng). 401000 ctrl r找到兩處參考,都改401005 004011DA E8 21FEFFFF call 3.00401000
004011EC E8 0FFEFFFF call 3.00401000 修改這里的代碼: 00401000 > /E9 B9080000 jmp 4.004018BE
00401005|68 EA9C4200 push 4.00429CEA
0040100A -|E9 A82A0200 jmp 4.00423AB7 保存到文件,最后lordpe修改1000為入口,保存4.exe,嗯出圖片了. 不過點(diǎn)了出來she之后不會(huì)關(guān)掉自己反而彈出自己, 估計(jì)是虛擬機(jī)里有調(diào)用1000退出,
結(jié)果跳到18be又DialogParam了 那么只好選擇寫保護(hù)了,用lordpe添加一個(gè)輸入函數(shù)VirutalProtect 在oep下面找片空地寫代碼, 最后跳回18be
004018C8 > B8 00004000 mov eax, 00400000
004018CD 0340 3Cadd eax, [eax 3C]
004018D0 8D78 28lea edi, [eax 28]
004018D3 50 push eax
004018D4 54 push esp
004018D5 6A 04 push 4
004018D7 6A 04 push 4
004018D9 57 push edi
004018DA FF15 1E304400call [44301E] ; kernel32.VirtualProtect
004018E0 58 pop eax
004018E1 B8 00100000 mov eax, 1000
004018E6 AB stosd
004018E7 ^ EB D5 jmp 004018BE 把入口改成18c8,搞定收工.

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。