使用OllyDbg从零开始Cracking-56第五十六章-EXECryptor v2.2.50.pdfVIP

第五十六章-EXECryptor v2.2.50.b脱 壳 本章我们来看UnPackMe_ExeCryptor2.2.5 0.b.exe这个程序。 我们直接运行该程序,看看效果。 我们可以看到ExeCryptor UnPackMe的等 级B稍微要难一点-Aggressive(译为:咄咄 逼人的,这里译为强力的较为恰当)模式开 启了,(PS:吓唬人吗?我好怕呀,嘿嘿,o (╯ □ ╰)o)。 我们直接用上一章调试等级A的OD (无需修 改OllyAdvanced反反调试插件里面的选项 )来加载这个UnPackMe_ExeCryptor2.2.50 .b.exe。 这里我们可以看到断在了系统断点处,我 们打开断点列表窗口,删除里面的一次性 断点。 这里我们删除掉这两个一次性断点,接着 跟上一章一样对代码段设置break -on-ex ecute断点。(PS:我的OllyBone插件不好 使,我上一章节中已经介绍了定位OEP的方 法,这里就不再赘述了,详情请查阅上一章 节) 这个Set break-on-execute右键菜单项是 OllyBone插件的一个选项,大家应该还记 得吧。 现在我们运行起来。 到这里为止,基本上跟上一章的步骤没什 么区别,现在我们删除掉break-on-execut e断点(PS:我定位OEP的方法并没有用到Ol lyBone插件,所以并不需要删除break-on- execute断点),继续。 如果大家足够细心的话,就会发现与上一 章中的UnPackMe_ExeCryptor2.2.50.a.ex e相比,这次我们断在OEP处时,多出了很多 线程。 很显然,这些线程是用来做检测用的,如果 检测到自己正在被调试,就直接退出进程 。 如果我们直接运行起来的话,会发现程序 直接退出了,这里我们将这些线程都挂起 ( 除了红色标记的主线程以外)。 这里我们依次在每个线程上单击鼠标右键 选择Suspend(挂起) (除了以红色标记的主 线程以外)。 我们直接运行起来,会发现OD右下角的状 态已经变成了Running,说明程序已经运行 起来了,但是程序的主界面并没有弹出来 。 好,现在我们在挂起的线程中任意挑选一 个出来,查看一下其调用堆栈,我们可以看 到调用了ntdll.dll中的ZwWaitForSingle Object,也就说上层实际调用了WaitForSi ngleObject这个API函数,说明该线程在等 待某个信号量,当前不会继续往下执行了 。 下面我们任选一个挂起的线程,这里我选 择了第一个挂起的线程,单击鼠标右键选 择Resume,让其恢复运行。 我们可以看到OD右下角状态仍然是Runnin g,但是程序的主界面还是没有弹出来,所 以我们再次将该线程挂起,继续恢复下一 个线程,如果下一个线程被恢复后,程序的 主界面还是没有弹出来,我们继续将其挂 起,继续恢复下一项,直到某挂起的线程被 恢复以后,程序的主界面弹出来为止。 我这里当恢复Entry的值为270000的这个 线程 (不同的机器上这个地址可能不一样) 的时候,程序的主界面弹出来了。 我们定位到270000地址处看看。 我们对起始地址为270000的这个区段设置 一个内存访问断点。 接着运行起来,发现并没有断下来,所以我 们需要改变一下策略了。 我们没有必要再深入探究这个线程的细节 了,我们的主要 目的还是为了修复IAT,既 然断不下来,说明该线程涉及到修复IAT的 可能性比较小,现在我们重启OD,再次断到 OEP处。 下面我们来验证一下是不是仅仅只需要主 线程以及线程函数入口地址为270000的这 两个线程该程序就能正常运行起来了,如 果是的话,那就最好不过了,如果不是的话 ,我们就还需要定位让程序正常运行必需 的第三个或者更多的线程。 好,下面我们将这两个线程以外的其他线 程都挂起。 另外,我们注意一下现在这两个线程的优 先级,我们会发现线程函数入口地址为270 000的这个线程的优先级与主线程的优先 级是一样的,而其他线程的优先级比它们 两个都低。 我们运行起来看看会发生什么。 也就是说该程序要想正常运行,只需要这 两个线程即可。 这里我给大家一些小小的建议:在脱一些 强壳的时候,大家没有必要按照一些教程 的步骤来生搬硬套,大家要学会灵活变通 。 有时候,看到网上的一些教程的脱壳步骤 ( 譬如:按5次F8,3次F7就可以到达OEP处了+ _+),说实话这种教