使用OllyDbg从零开始Cracking-456第四十五章补充章节-ReCrypt v0.pdfVIP

第四十五章-ReCrypt v0.80脱壳 (续) 本章是对上一章节的补充。 本章我们需要用到几款工具,分别是 1.OllyGhost(DIY过的OllyDbg) (PS:OllyG host压根没用上,在XP下运行会提示无法 在NT系统运行,大家还是用原版OD吧) 2.OllyDump (OD的dump插件) 3.LordPE 4.Estricnina_v0.12 5.POKEMON_AntiAttach 信息收集 : 在我们开始分析UnPackMe_ReCrypt0.80.e xe之前,首先用LordPE查看一下该程序PE 的信息。 直接选中该程序单击鼠标右键选择Load i nto PE editor (LordPE) (PS:还记得上一 章节介绍过的这个系统菜单项吧) 这样我们LordPE的PE编辑器就直接打开了 该程序,比较方便。 这些字段非常重要,因为很多壳在解密区 段的过程中会修改这些字段。我们可以看 到这里NumOfRvaAndSizes字段就被修改过 了。 因为一般来说这个字段的值为0x10,不可 能是0x7A0B5FD9这么大一个值。 这里NumOfRvaAndSizes这个字段的偏移是 0xB4。 接下来我们需要定位该程序的OEP,这里我 们使用PEID的Generic OEP Finder插件来 定位。 将UnPackMe_ReCrypt0.80.exe拖拽到PEID 中,单击PEID主界面右下方的右箭头按钮 。 会弹出一个菜单,我们选中Plugins(插件) 菜单,接着选中Generic OEP Finder菜单 项。 不一会儿就会弹出一个消息框,显示OEP为 0x401000。 好了,信息已经搜集完毕了。下面我们来 展开攻击。 收集到的信息如下: 1.OEP 2.SizeOfImage 3.NumberOfRvaAndSizes 偏移0xB4, 我们 修改为了0x10 攻击 : 我们首先直接运行UnPackMe_ReCrypt0.80 .exe,会发现该程序CPU 占用率非常高。 下面我们需要用到Estricnina这款工具, 使用这款工具我们可以挂起该壳所创建的 3个线程。(PS:这一步不是必须的,但是挂 起这3个线程,我们的电脑运行起来会顺畅 一些,不会感觉那么卡了) 这里我们打开Estricnina主程序。 在进程列表中找到UnPackMe_ReCrypt0.80 .exe对应的进程。 双击之。 可以看到有3个线程,分别选中这3个线程, 并单击下方的Suspender (挂起)按钮。 我们可以看到这3个线程都挂起了。 好,这里我们可以看到这3个线程都被挂起 了,我们再来看看该程序的CPU 占用率,已 经由%99减到了%0。 现在我们可以顺畅的使用我们的机器了。 攻击未被检测的内存块 下面我们需要用到POKEMON这款工具,通过 这款工具我们可以绕过该壳的Anti Attac h (反附加),我们还记得恢复的那个偏移0x B4处的NumOfRvaAndSizes这个字段的值吧 。(其实没有必要恢复NumOfRvaAndSizes 这个字段的值,恢复它仅仅是为了不让OD 弹出那个无效PE格式的错误框而已) 我们选中UnPackMe_ReCrypt0.80.exe对应 的进程,单击Anular protection AntiAtt ach按钮,会发现那个骷髅头在转动,骷髅 头停止转动就表示完毕了。接下来，我们 打开LordPE,定位到UnPackMe_ReCrypt0.8 0.exe所在进程。 我们可以看到LordPE的进程列表中显示的 UnPackMe_ReCrypt0.80.exe所在进程的Im ageSize为0我们应该还记得该 程序的ImageSize为0对呀。 这里为了更好的修复IAT,我们需要将这个 ImageSize修正。 修复方法:我们在LordPE的进程列表窗口 中选中UnPackMe_ReCrypt0.80.exe对应的 进程,单击鼠标右键选择correct ImageSi ze。 我们可以看到ImageSize已经被成功修复 为了0 好了,我们已经搞定了一部分,继续。下面 我们使用OD附加该进程。我们可以看到弹 出了一个错误框提示无效的PE格式。 我们单击Aceptar (西班牙语:确定)按钮。 断在了ntdll.DbgBreakPoint这个API函数 中。 我们已经知道了OEP