【脫文動畫】http://cnxhacker.net/donghua/crack/200607/245.html
【脫文標(biāo)題】 手動脫殼入門第十六篇 MoleBox 2.x 續(xù)之Patch IAT加密
【脫文作者】 weiyi75[Dfcg]
【作者郵箱】 weiyi75@sohu.com
【作者主頁】 Dfcg官方大本營
【使用工具】 Peid,Ollydbg,ImportREC1.6f,Loadpe
【脫殼平臺】 Win2K/XP
【軟件名稱】 IMCaster ICQ E-Marketer
【軟件簡介】 IMCaster ICQ E-Marketer是一個強(qiáng)大的ICQ即時信息查找工具。你可以根據(jù)不同的條件（如：性別、年齡、國家或者職業(yè)等等）搜索在線ICQ用戶，向他們發(fā)送信息以提高你網(wǎng)站或企業(yè)的知名度。
【軟件大小】 2.61M
【下載地址】 http://www.imcaster.com/Downloads/IMCastSetupEnt.exe 或 二哥推薦的教學(xué)篇里面下載
【加殼方式】 MoleBox 2.x.x -> Mole Studio [Overlay]
【保護(hù)方式】 MoleBox壓縮殼
【脫殼聲明】 我是一只小菜鳥，偶得一點心得，愿與大家分享：)
--------------------------------------------------------------------------------
【脫殼內(nèi)容】
首先Peid查殼，為MoleBox 2.x.x -> Mole Studio [Overlay]，OD載入運行，無任何異常，判斷其為壓縮殼。
前面二哥的修復(fù)方法大家都看到了，繼然IAT可以加密就可以IAT解密，實際是跳過。
一口氣寫OD脫殼腳本寫到16篇后發(fā)現(xiàn)這篇IAT被加密了，只寫個找OEP的腳本沒意思，要寫腳本首先得會脫這個殼。
脫殼后發(fā)現(xiàn)程序不能運行,這時需要用Imprec修復(fù)引入函數(shù)表(Import Table)
在Oep處填8636F,點IT自動搜索,然后點獲輸入信息,有9個指針沒有修復(fù)。
IAT的起始地址是89000,大小B80
根據(jù)Imprec提示89110 處的指針被加密
就從這里入手，也可以隨便找個加密指針處入手。
OD載入程序，命令行
Hw 489110
因為這個地址先前寫入的地址是對的，然后程序?qū)⑦@個地址加密為Imprec不認(rèn)識的東西，我們就要跟蹤這個過程。
F9運行
004D1237 8B45 F8 mov eax,dword ptr ss:[ebp-8] ; imcast.00489110
004D123A 40 inc eax
004D123B 40 inc eax
004D123C 8945 F8 mov dword ptr ss:[ebp-8],eax
004D123F 0FB745 E2 movzx eax,word ptr ss:[ebp-1E]
004D1243 C1F8 08 sar eax,8
004D1246 0FB74D E2 movzx ecx,word ptr ss:[ebp-1E]
堆棧友好提示
0012FCD8 7FFDF000
0012FCDC 47D047D0
0012FCE0 47334733
0012FCE4 5EBC5EBC
0012FCE8 72BF72BF
繼續(xù)3次F9，注意堆棧友好提示
004D13CE FF15 24804D00 call dword ptr ds:[; KERNEL32.GetProcAddress
004D13D4 8B4D F0 mov ecx,dword ptr ss:[ebp-10]
004D13D7 8901 mov dword ptr ds:[ecx],eax
004D13D9 EB 26 jmp short imcast.004D1401
004D13DB 8B55 F0 mov edx,dword ptr ss:[ebp-10]
004D13DE 8B02 mov eax,dword ptr ds:[edx]
004D13E0 25 FFFF0000 and eax,0FFFF
004D13E5 50 push eax
004D13E6 8B4D F4 mov ecx,dword ptr ss:[ebp-C]
004D13E9 51 push ecx
004D13EA FF15 24804D00 call dword ptr ds:[; KERNEL32.GetProcAddress
堆棧友好提示
0012FE2C 77E7ED4C KERNEL32.SetFilePointer //這個和EAX中是一樣的，都是正確指針
0012FE30 6BC4B4AC MFC42.#1576
0012FE34 0049428A imcast.0049428A
0012FE38 004943FE ASCII "KERNEL32.dll"
0012FE3C 00489110 imcast.00489110
0012FE40 77E60000 KERNEL32.77E60000
0012FE44 00493294 imcast.00493294
現(xiàn)在我們
dd 489110 往上看到489100被加密了，呵呵,我說過可以隨便找個加密指針處入手。
004D13D9 /EB 26 jmp short imcast.004D1401
004D1401 8B4D EC mov ecx,dword ptr ss:[ebp-14] ; imcast.004943FE
004D1404 51 push ecx
004D1405 8B55 F0 mov edx,dword ptr ss:[ebp-10]
004D1408 52 push edx
004D1409 E8 12050000 call imcast.004D1920 //如果單步過了這里，就Over了。顯然它是個加密Call，NOP掉程序正常運行，進(jìn)去看看。
******************************************
004D1920 55 push ebp
004D1921 8BEC mov ebp,esp
004D1923 83EC 10 sub esp,10
004D1926 C745 FC 00000000 mov dword ptr ss:[ebp-4],0
004D192D 833D 30F04D00 00 cmp dword ptr ds:[4DF030],0
004D1934 75 0A jnz short imcast.004D1940
004D1940 8B45 08 mov eax,dword ptr ss:[ebp 8] //注意這時EAX=77E7ED4C是正確指針
004D1943 8B08 mov ecx,dword ptr ds:[eax]
004D1945 51 push ecx
004D1946 8B0D 30F04D00 mov ecx,dword ptr ds:[4DF030]
004D194C E8 AB380000 call imcast.004D51FC
004D1951 8945 F8 mov dword ptr ss:[ebp-8],eax
004D1954 837D F8 00 cmp dword ptr ss:[ebp-8],0
004D1958 74 45 je short imcast.004D199F
004D195A 8D55 F0 lea edx,dword ptr ss:[ebp-10]
004D195D 52 push edx
004D195E 6A 04 push 4
004D1960 6A 04 push 4
004D1962 8B45 08 mov eax,dword ptr ss:[ebp 8]
004D1965 50 push eax
004D1966 FF15 70804D00 call dword ptr ds:[; KERNEL32.VirtualProtect
004D196C 85C0 test eax,eax
004D196E 75 0A jnz short imcast.004D197A
004D197A 8B4D 08 mov ecx,dword ptr ss:[ebp 8]
004D197D 8B55 F8 mov edx,dword ptr ss:[ebp-8]
004D1980 8B02 mov eax,dword ptr ds:[edx]
004D1982 8901 mov dword ptr ds:[ecx],eax //可惡這里; imcast.004D490E
EAX=004D490E dword ptr ds:[ecx] 是推算被加密的地址00489110,實際也是,看OD信息框就知道了。我們必需讓EAX是正確的指針。我們看到004D1940 處EAX被賦值，而且當(dāng)時的EAX是正確指針。
這就容易了
004D1940 8B45 08 mov eax,dword ptr ss:[ebp 8]
修改為
004D1940 8BC0 mov eax,eax ; KERNEL32.SetFilePointer
004D1942 90 nop
自給自足
004D1984 8D4D F4 lea ecx,dword ptr ss:[ebp-C]
004D1987 51 push ecx
004D1988 8B55 F0 mov edx,dword ptr ss:[ebp-10]
004D198B 52 push edx
004D198C 6A 04 push 4
004D198E 8B45 08 &n

最新評論