在本參考教程的第一部分我們學(xué)習(xí)了如何正確地轉(zhuǎn)儲(dump)Getright 5. 現(xiàn)在我們將要去找神奇跳轉(zhuǎn),這樣IAT會被正確地轉(zhuǎn)儲下來,而不用手工修復(fù)了. 要完成這一點,我們需要打敗程序中的一些陷阱, 并使它們即使在檢測到被執(zhí)行脫殼時也無所作為.
讓我們開始吧!
第一步:如何找到IAT的起始點和終點
在我們開始之前,先在安全的地方保存一份我們在先前第一部分教程中得到的轉(zhuǎn)儲文件的副本. 我將它命名為TUTE.exe記住這個名字.
用Ollydbg載入TUTE.exe. 我們將要去尋找IAT.

正如我們在上圖中看到的,如果我們稍加跟蹤,我們很容易發(fā)現(xiàn)一個
CALL [xxxxxx] 或者 JMP [xxxxxx] 間接地帶有它們即將跳往IAT中某處的內(nèi)存地址值.在這張圖中,我們可以看到 CALL [5e9d94]. 那意味著這個call將要前往這個內(nèi)存地址,實際上就是IAT表的入口值.在它的右邊我們可以看到"kernel32.Getversion" (黃色). 這就意味著這是一個可以在IMPORT RECONTRUCTOR上被找到的正確的入口值.
讓我們看一下轉(zhuǎn)儲(DUMP)窗口.在轉(zhuǎn)儲(DUMP)窗口右擊,選擇"前往 表達(dá) 5E9D94".

這就是看上去很不錯的IAT. 正如你所看到的入口5E9D94指向77E5D142,那個值在我的機器里是API GetVersion.這個入口是正確的,此入口周圍的其它一些入口也是指向類似7xxxxxxx的值.
注意在其它的機器上值7xxxxxx可能會有所不同.但是這些值都是相互類似的. 現(xiàn)在我們稍微往上看一看,去找此表的起始點.我們到達(dá)這里:

紅線標(biāo)記了此表的起始點.在此線的上面沒有其它任何API值了.現(xiàn)在我們知道表從哪兒開始了
TABLE STARTS= 5E99EC
現(xiàn)在到右下角轉(zhuǎn)儲區(qū)去找IAT表的終止點.正如我們在圖中看到的有兩個可能的終止點. 如果我們吃不準(zhǔn)最好選后面那個.但是我們有更好的方法.

選擇任何一個不確認(rèn)的值,然后將表向上翻頁.停在401000.我們必須去找一個CALL [xxxxx]或者一個JMP [xxxxx].右擊鼠標(biāo)并選擇SEARCH FOR BINARY STRING

我們將要去尋找那些不確認(rèn)的入口中的一個,讓我們試試5EA25C.記住逆序?qū)戇@個值如下圖所示.

到了這里

稍稍往上翻一下

我們看到那兒有一個使用此值的CALL,所以那些不確認(rèn)的值也都是屬于IAT的.
現(xiàn)在我們知道了
END OF TABLE= 5EA2BC
終點值是用來計算表的長度的.這是很簡單的一步:
LENGTH= END-START
LENGTH=5EA2BC-5E99EC
LENGTH= 8D0
在紙上寫下OEP,表的起始點和長度,在使用import reconstructor時你將用到這些值.
第二步:找出那些不指向任何API的錯值.
當(dāng)GETRIGHT.exe正在進(jìn)行轉(zhuǎn)儲時,這個問題變的很容易.然后選擇VIEW-MEMORY你將看到哪些入口指向了dlls而哪些則指向了錯誤的地方.
無論如何如果我們嘗試用revirgin或import reconstructor則會有很多入口無法解決.這就是我們?yōu)槭裁凑埑龉锊ㄌ貛硪恍┠Х?

正如在表中看到的,還存在一些(黃色標(biāo)記)沒有解決的入口.通常對付這種情況的方法是從我開始轉(zhuǎn)儲起就跟蹤,然后追蹤每一個調(diào)用API的call,寫下名字最后用Import Reconstructor.
如果自由很少幾處沒有解決的入口這樣做將非常簡便,但是如果有很多的話,這項工作將令人難以忍受,所以讓我們看看另一種方法.
第三步:如何去找出MAGIC JUMP
這里說明一點：我們已經(jīng)知道程序的父進(jìn)程和他的子進(jìn)程是相同文件，但要用不同的句柄裝入兩次，所以他們變成兩個不同的進(jìn)程。一方面父進(jìn)程的OEP是5F90B9,父進(jìn)程從這里開始運行.

另一方面我們知道當(dāng)子進(jìn)程被轉(zhuǎn)儲時其OEP是534E90,但我也要告訴你，子進(jìn)程也是以相同的父進(jìn)程的入口點5F80B9開始運行.子進(jìn)程運行并且解出自己的IAT然后跳到子進(jìn)程引起錯誤的OEP,我希望你記住這一點,我在第一部分曾經(jīng)講過.
如果你相信以上所說,我告訴你,跟蹤父進(jìn)程直到父進(jìn)程開始轉(zhuǎn)變?yōu)閮蓚€進(jìn)程,父進(jìn)程和子進(jìn)程,找到那個地方,那非常有用.我已經(jīng)找到了那個地方,那是個條件跳轉(zhuǎn),至于如何找到的,我以后再告訴你.
順便一提它不是從父進(jìn)程那復(fù)制 IAT 到它的子進(jìn)程，卻是從子進(jìn)程那解出自己的 IAT。這應(yīng)該是一大麻煩，因為我們不能在他從父進(jìn)程脫離前用 OllyDbg 進(jìn)入子進(jìn)程。
這是個煩惱,因為我不知道如何進(jìn)入子進(jìn)程去觀察它如何解出自己的IAT.
首先我嘗試著從轉(zhuǎn)儲程序TUTE.exe中找一個錯誤的entry.

我選擇了5E9C34但是你可以選擇其它任何錯誤的entry.正如你所看到的,它的值為DF5070.
按老規(guī)矩記住要將 IsDebuggerPresent 的值設(shè)為零，清除所有以前的 BPX、BP WaitForDebugEvent 然后單擊運行.
我們將停在此斷點或者某個例外上.那時,打開PUPE選擇進(jìn)程中2個進(jìn)程中的上面一個(因為他是子進(jìn)程,是我們需要的).右擊進(jìn)入parcheando窗口選擇4字節(jié)，如圖在地址里填入錯誤的entry offset 5E9C34.然后點擊BUSCAR. 你將會看到?jīng)]什么變化,因為所有值都是零.

然后不斷的在OD中點擊運行、在PUPE中點擊BUSCAR,并檢查字節(jié)窗口中的值.

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。