VMP脱壳技术.doc

Winlicense v记事本脱壳(图) Winlicense v记事本脱壳By VirusWizard今天第一次接触Themida/Winlicense，基本上都是脚本，算不上什么技术，但作为实验，记录一下。总体流程：使用Nooby的脚本跑到FakeOEP，然后修复StolenCode。首先使用Winlicense v调了不少高级属性给WindowsXP的记事本加个壳。然后调整脚本中的Base记事本的WinLicen的Base。我这里的Base所以对应的代码修改成：mov tmdbase,接下来用StrongOD，选项全部勾上，开始跑脚本。跑完脚本之后，来到这里：???68 BA750001???? push????010075BA0100756D????64:A1mov???? eax, dword ptr fs:[0]???50??????????????push????eax???8B4424 10?????? mov???? eax, dword ptr [esp+10]???896C24 10?????? mov???? dword ptr [esp+10], ebp0100757C????8D6C24 10?????? lea???? ebp, dword ptr [esp+10]???2BE0????????????sub???? esp, eax???53??????????????push????ebx???56??????????????push????esi???57??????????????push????edi???8B45 F8???????? mov???? eax, dword ptr [ebp-8]???8965 E8???????? mov???? dword ptr [ebp-18], esp0100758B????50??????????????push????eax0100758C????8B45 FC???????? mov???? eax, dword ptr [ebp-4]0100758F????C745 FC FFFFFFFmov???? dword ptr [ebp-4], -1???8945 F8???????? mov???? dword ptr [ebp-8], eax???8D45 F0???????? lea???? eax, dword ptr [ebp-10]0100759C????64:A3mov???? dword ptr fs:[0], eax010075A2????C3??????????????retn观察堆栈，发现这个：0006FF8C?? 011ABF9B NOTEPAD_.011ABF9B0006FF90??NOTEPAD_0006FF94??70有些眼熟，用OD打开原记事本，看到头两行：0100739D $ 6A 70???????? push????70?????????????????????????????? ; (initial cpu selection)0100739F?? . 68? push???然后F4到011ABF9B，这个时候会进入VM，我暂时还没那技术去分析。参考了网上别人的文章，方法是：Alt+M，然后在.code段F2下断，然后F9。第一次来到这里：010E567F????FF32????????????push????dword ptr [edx]??????????????????; kernel32.GetModuleHandleA010E5681 ^ E9 60ECFFFF???? jmp???? 010E42E6010E5686????81C4? add???? esp, 4010E568C????E9 A05F0000???? jmp???? 010EB631显然还在VM中，重复一遍，来到这里：010073F2????8379 74 0E??????cmp???? dword ptr [ecx+74], 0E010073F6 ^ 76 E2?????????? jbe???? short 010073DA01