使用OllyDbg从零开始Cracking-44第四十四章-ACProtect V1.pdfVIP

第四十四章-ACProtect V1.09脱壳 (修复 AntiDump) 我们上一章节介绍了如何定位stolen byt es,以及IAT的修复。我们利用上一章编写 的脚本可以很方便的修复IAT并且定位到O EP,接下来我们的任务就是dump。 我们依然用OD加载UnPackMe_ACProtect1. 09,并对KiUserExceptionDispatcher入口 以及下方的ZwContinue调用处分别设置断 点,并且清除之前设置的硬件断点。 接着我们执行OEP.txt这个脚本定位到OEP 处。 好了,现在我们到达了OEP处。 接下来进行dump。 这里我们不勾选Rebuild Import的选项, 将转储出来的文件重命名为dumped.exe。 接下来我们重启OD,执行修复IAT的脚本。 接下来打开Import Reconstructor,定位 到该程序所在进程。 接着就需要填上OEP (RVA),IAT起始地址 (R VA),IAT的大小。 OEP 271B5 IAT的起始地址 (RVA) 60818 IAT的大小 460F28 - 460818 710 点击Get Imports。 我们会发现有一项是无效的,其他项都是 有效的,是不是我们哪里处理的有问题？ 我们来跟一下,看看哪里出了问题,重启OD ,我们选中上面显示无效的IAT项,设置内 存写入断点。 运行起来,断在了尝试对460DE8该内存单 元进行写入的指令处。 我们会发现ESP - 0C指向的栈空间中并没 有保存API函数的入口地址,而是保存了46 E5CB这个值。 我们可以看到通过IAT.txt脚本,460DE8这 个IAT项被保存的是46E5CB这个值,那么不 通过脚本呢?我们按F7执行该指令。 我们可以看到不通过脚本460DE8这个内存 单元中保存的值是46BD5B。 我们转到46BD5B地址处看看是什么。 这里我们可以看到首先是将一个常量压入 堆栈,接着与另一个常量进行异或就可以 得到某个API函数的入口地址,我们一起来 计算一下。 942C0892 xor 946aed59 如果你不想通过计算器来算的话,那么也 可以通过OD执行这几条指令来得到结果。 这里我们可以看到异或得到的结果是46E5 CB,跟执行IAT.txt脚本得到的结果是一致 的。也就是问题并不是出在脚本上。应该 是其他的某个环节出了问题。我们重启OD ,随便找一个API函数跟一下。 我们执行OEP.txt脚本到达了OEP处,接着 依然对刚刚的460DE8这个无效的项设置内 存访问断点,看看会断在哪里。 断在了这里,我们跟进去看看。 我们跟到RET指令处,继续跟进。 这里我们可以看到第一条指令是PUSHAD, 那么根据堆栈平衡原理,可以很自然的想 到后面应该有个POPAD指令,我们按F7键往 下跟若干行会到达这里。 这里我们可以看到调用了MessageBoxA这 个API函数。 另一种更加快捷的方法就是通过OD的自动 跟踪功能来定位,我们设置 自动跟踪的终 止条件为EIP大于500000,也就是说从当前 区段转入到系统DLL中去执行API函数的时 候就会断下来,我们一起来看一看。 这里我们选中EIP is outside the range 。范围设置为0~500000。下面我们一起来 看看效果。 我们可以看到断在了MessageBoxA的入口 处,为了验证API函数的正确性,我们来看 看该函数的调用处是哪里,看看堆栈中的 返回地址。 这里我们可以看到返回地址是40E51B,我 们直接转到这个地址。 这里返回到的是调用处的下一行,好了,这 里我们就得到了正确的API函数,我们重启 OD,执行IAT.txt脚本,就OEP,IAT起始地址 ,IAT大小等数据都填入到IMP REC中。 我们定位到这个无效的项,双击之,将其修 改为MessageBoxA。 好了,现在所有的项都有效了。接下来修 复dump文件,选中dumped.exe，单击Fix d ump。 修复后的dump文件被重命名为了dumped_. exe,别忘了stolen bytes我们还没有填充 回去,我们用OD打开dumped_.exe。 停在了假的OEP处,我们准备好stolen byt es。 我们将stolen bytes以汇编指令的形式填 充上。 我们通过计算可知stolen bytes总共 占5 个字节长度,4271b5往上5个字节就是4271 b