脱壳_详细_使用的方法

脱壳_详细_使用的方法_03

阅读量：5329 次

发布时间：2019-06-14

本文共 5982 字，大约阅读时间需要 19 分钟。

1、第11课

　　基础脱壳教程11：附加数据的处理方法　　　　[Overlay]

　　工具：overlay最终版

　　WIN HEX或HEX WORKSHOP

　　【80】【00:25】壳"nSPack 1.3" 北斗的壳，最后有个 "[Overlay]"

　　【138】【00:45】OD载入

　　　　【180】【00:59】快速脱一下，直接一步直达法

　　　　【245】【01:21】OD插件脱壳

　　　　【278】【01:32】发现脱壳后的111.exe 不能运行

　　　　【299】【01:39】LoadPE 修正镜像大小(没有进行"完整转存"的操作)　　【327】【01:47】ImportREC修复

　　　　【374】【02:04】还是没法运行

　　【430】【02:22】处理附加数据，网上工具：overlay最终版　　(卡巴会报毒)

　　【488】【02:42】手动的方式来处理

　　　　使用工具：WIN HEX 或 HEX WORKSHOP

　　　　【627】【03:28】把要脱壳的程序用"HEX WORKSHOP"打开，把数据滚动条拉到最后，向上翻，一直翻到第1次出现全部为0的数据的时候(大家耐心一点，不要错过了)(ZC: 这个全0 的数据区域需要多大？这里是不是在找最后一个节？最后一个节就是放Overlay数据的地方吗？)(ZC: 可以弄个小工具做这个事情，从后往前找)，【800】【04:28】找到了，【828】【04:35】从这里开始复制，点住shift键，向下拉，拉到最后，右击复制。Hex Workshop 文件打开选脱壳后的那个exe，同样拉到最后，在这个软件的最后，把附加数据粘贴上去，Hex Workshop 文件另存为另一个名字的exe

　　　　　　【969】【05:22】处理完附加数据之后，PEiD查壳，发现有"[Overlay]"了，发现能够运行了，这就是处理附加数据的方法

　　　　　　ZC: 疑问：直接往上贴就行了？不需要在PE结构里面设置相关结构体的值？

　　　　　　ZC: 我暂时的理解是这样：本课的例子，加壳后 exe大小没变，于是 [Overlay] 的相对位置不变？之前不能运行的脱壳后的exe 大小是不是比脱壳前小？然后贴上附加数据之后大小就一样了？待验证。

　　　　　　　　ZC: 如果真是这样的话，加壳前后 exe大小变化，那么 [Overlay] 的相对位置就会不同？直接往脱壳后的exe后面贴附加数据的话还行的通不？

　　【1065】【05:53】再教一种计算的方法

　　　　【1090】【06:03】用LoadPE打开需要脱壳的程序，看一下区段，找最后一个区段，【1210】【06:42】找最后两个字段 ROffset&RSize 实际偏移量和实际大小(ZC: 这里的R是 "实际"/"Real" 的意思？V是虚拟，R是实际，貌似蛮OK的...)。　【1280】【07:07】把 ROffset/RSize 的值相加 8800+400=8C00　【1360】【07:33】将待脱壳exe 载入 Hex Workshop 中，右击转到偏移(Ctrl+G) 输入8C00(选"十六进制") 点击"转去"，就是我们刚才手动翻找到的位置了(ZC: 那也就是说附加数据在所有的节的后面，这样貌似定位起来也方便)，后面的操作和前面手动的一样　【1495】【08:18】原来的好多空数据，最好别去覆盖它 (ZC: 看到【1453】待脱壳的exe的文件大小为 0x83D20，【1565】已脱壳的exe+附加数据总大小为0x9A120，确实是靠最后一个节的边界来定位附加数据的吗？PE头中没有最后一个节之后数据的信息，∴ 附加数据不会被加载到内存，因此只能靠最后一个节的ROffset&RSize 来定位附加数据)

2、第12课

　　基础脱壳教程12：自校验的去除方法

　　下断

　　bp CreateFileA

　　【125】【00:41】没找到带自校验的软件，做了一个例子讲个方法

　　【195】【01:05】ASPack的壳

　　【205】【01:09】OD载入，快速的脱一下壳

　　　　OD插件脱壳

　　　　【310】【01:43】PEiD 查看脱壳后的exe，VC++5.0。程序能跑起来，但是报警 "程序被非法修改！"

　　　　【365】【02:01】ImportREC修复一下

　　　　【415】【02:18】运行exe 内存错误

　　　　【470】【02:35】ImportREC显示输入表只有一个kernel32.dll，一般情况下是不可能的。得手动查找IAT

　　　　　　【510】【02:50】随便找个CALL，OD 命令行输入 "d 4251B8"(ZC: 这里就是kernel32.GetVersion)，向上拉找到全0的区域(此处为 IAT开始)，【595】【03:18】大小随便的写了0x1000

　　　　　　　　【673】【03:43】等级1 修复，直接剪掉没法修复的

　　　　　　【727】【04:02】程序跑起来了，但是报警 "程序被非法修改！"

　　处理自校验的问题

　　【800】【04:28】把脱完壳的exe 也用另一个OD载入

　　【860】【04:47】下断 bp CreateFileA(文件刚开始的是否读取文件)(ZC: 内存中的exe 读硬盘上的exe，然后计算校验，然后再比较，他应该用的是这种方式)，两边都下断，两边都F9，(【915】【05:05】ZC:视频中看不全参数，自己弄的时候可以看一下，前面猜的是否准。) 两边都 "返回到用户代码"

　　　　ZC: 他把原来的校验值放在哪里了？是放在了全局变量里面了吗？可以自己跟一下分析一下。

　　　　【1130】【06:16】一边跳转没实现【1180】【06:30】另一边跳转实现了。只要把跳转改掉就行，改成相反的跳转或者直接 NOP掉，保存修改

　　　　【1295】【07:10】程序正常运行

　　【1473】【08:10】ZC: 原来的校验值是通过参数传到这里的？貌似不对啊，这里是不相等则跳转

　　【1660】【09:12】本课去自校验的方法，主要就是：开2个OD，两边同时调试看它们在哪里执行了不同的跳转。

　　　　有的自校验比较厉害

3、第13课

　　基础脱壳教程13：脱壳的简单应用——软件的汉化及DIY

　　1、先查壳

　　2、有壳就脱壳

　　3、对软件进行破解、汉化、美化等DIY

　　工具：

　　　　resource hacker

　　　　peexplorer

　　　　getvbres ............VB类的汉化、DIY

　　　　xnresource

　　　　等等

　　【208】【01:08】qqspirit.exe 壳FSG 2.0，用 resource hacker进行资源编辑

　　　　【288】【01:35】无法进行资源编辑

　　【468】【02:35】QQ个性网名昵称查看器.exe (VB) 壳ASPack 2.12

　　　　【580】【03:13】脱壳

　　　　【640】【03:33】可以运行，不需要修复了

　　　　【760】【04:13】getvbres 打开 1.exe

　　　　　　修改资源

　　　　　　【950】【05:15】有长度限制 (ZC: 应该是指修改的字符串的长度)

　　　　　　【1055】【05:50】更新当前程序，没法更新 ∵ 该软件没有注册

　　　　　　【1200】【06:40】getvbres 注册完毕，更新当前程序成功 --> 显示"已改"

　　　　【1235】【06:51】运行软件，发现已经改过来了

　　【1300】【07:12】qqspirit.exe 壳 FSG 2.0

　　　　【1315】【07:18】快速脱一下壳，ESP定律。LoadPE脱壳，ImportREC修复，手动查找IAT(直接剪切无效的)　【1595】【08:51】程序能够运行

　　【1655】【09:11】VC类的汉化、DIY：resource hacker、peexplorer、xnresource 都可以使用

　　【1700】【09:25】VC的程序一般用 resource hacker

　　　　脱壳之后，还是不能编辑资源

　　　　【1753】【09:43】∵ 手动脱壳没有脱干净 (可能是手动查找IAT的时候，将 IAT大小设置为0x1000 制造了很多垃圾指针)。

　　　　【1780】【09:52】用 FixRes.exe修复一下

　　　　【1837】【10:11】现在 resource hacker 可以编辑资源了

　　　　　　【2025】【11:13】点击"编译脚本(C)"，另存为

　　　　【2080】【11:33】exe资源信息已经改过来了

　　【2127】【11:47】peexplorer 修改 VC的exe

　　【2245】【12:27】btengine.exe，Borland C++ 1999 没壳

　　　　【2315】【12:50】resource hacker 打开 btengine.exe，是用不了的，∵ BC++和Delphi 有一个特有数据 RCData

　　　　【2412】【13:23】peexplorer 打开 btengine.exe

　　　　　　【2747】【15:14】已经改过来了

　　【2852】【15:49】xnresource 打开 VC的exe

　　　　优点: 可以可视化的进行修改资源

　　　　【2960】【16:25】汇编比较厉害的话，还可以自己增加功能 (ZC: 怎么增加，他没说...)

4、第14课

　　基础脱壳教程14：手脱ASPACK的变形壳

　　【430】【02:23】要用 Aspack变形壳0.1汉化版.exe 来加壳，exe必须先加Aspack壳(??\aspack212r\ASPACK.EXE)

　　【510】【02:49】PEiD查壳什么也没有发现。"EP区段" 写的是 ".aspack"。

　　　　有时 PEiD 提示 "什么也没有发现"，可以从 "EP区段" 来判断一下，当然也不一定准确 ∵ 区段(ZC: 名)可以自己改

　　【636】【03:31】OD载入

　　　　ESP定律 ==> 程序直接跑飞了

　　【760】【04:13】OD重新载入，单步法 (近CALL 就F7跟进，远CALL就F8)(ZC: 那到底多远的CALL算远CALL？)

　　　　【1138】【06:18】LoadPE脱壳，ImportREC修复

　　　　【1240】【06:52】可以运行

　　【1393】【07:43】Aspack变形壳0.1汉化版.exe，PEiD 提示 "什么也没有发现"，"EP区段" 写的是 ".皇后"...

　　【1473】【08:10】OD载入 Aspack变形壳0.1汉化版.exe

　　　　ESP定律 ==> 【1565】【08:41】向上的JMP，下一条指令 F4 ==> 程序跑飞

　　　　　　【1730】【09:36】来回的在相同的(差不多)指令地址 JMP来JMP去【1775】【09:51】而且在往上JMP的指令下面还不能F4，看上去是一个死循环，但是我们发现程序是可以正常运行的 (ZC: OD中程序能跑飞，说明这里不是壳对OD采取的措施)

　　　　　　【1860】【10:19】往上JMP的指令处下F2断点，多F9几次　【1880】【10:26】有时向上跳，有时向下跳，往下跳的时候 F8跟下去也不行 (ZC: ∵它还不是最后一次从这里跳出去，程序还是会执行到这里，再跳。可以数它跳了多少次(N次)后程序跑飞，然后用N-1次再F8跟 )

　　　　　　　　【2075】【11:30】(ZC: 和我想的一样) 用最后一次异常法的思路。【2190】【12:09】F9 * 58次程序跑飞

　　　　　　　　【2300】【12:45】F9 * 57次 ==> 【2455】【13:37】ESP定律法 ==> 【2500】【13:55】来到OEP (ZC: 这个是什么程序的OEP？怎么不认识？...)，OD插件脱壳，LoadPE 修正镜像大小(习惯上每次脱完壳都修正一下镜像大小比较好)，ImportREC修复【2623】【14:33】程序可以运行

　　【2665】【14:47】主要讲授，如何处理 (ZC: 假性)死跳转的问题

5、第15课

　　基础脱壳教程15：ASPACK变形壳(续) 及学会用脚本进行脱壳

　　【273】【01:31】QQ个性网名昵称查看器.exe 壳 ASPack 2.12

　　【295】【01:38】OD载入

　　　　【345】【01:55】OD -->插件 -->ODbgScript --> 运行脚本 --> 打开... --> 【422】【02:20】选择aspack_212.txt -->脚本自动运行，弹出2个对话框，自动运行到OEP --> OD插件脱壳 --> 程序运行OK

　　　　【607】【03:22】用脚本“UPX,NsPacK,Aspack2.11-2.12 集成通用脱壳脚本.osc” 脱壳

　　【690】【03:50】用脚本脱壳不一定准确，不一定到达真正的OEP 。壳稍微有点变形就没法到OEP了

　　【726】【04:01】memcollate.exe 用OD载入

　　　　用脚本“UPX,NsPacK,Aspack2.11-2.12 集成通用脱壳脚本.osc” 脱壳，也是壳 ASPack 2.12

　　　　【785】【04:21】脚本来到了假的OEP，【850】【04:43】向下脱单步法 --> 程序跑飞

　　【939】【05:12】OD重新加载，用脚本“UPX,NsPacK,Aspack2.11-2.12 集成通用脱壳脚本.osc” 脱壳，单步，【982】【05:27】近CALL F7