開始打算寫個inline-patch:

用同樣的查表動作,把對應的變形碼copy出來,得到對應的API地址,與跳過加密而得到的干凈IAT對比。查到匹配值后,修改對應的opcode,使其直接call到IAT中的地址。

用OllyScript腳本跳過IAT加密,得不到變形碼（此時從變形碼地址表中得到的就是API的真正地址,有46項指針無效,為0xCCCCCCCC）。

另一個問題卻是難以解決的,replaced code只有5字節(jié):

這里的call是0xE8,調用殼中的絕對地址。InlinePatch寫到一定程度才發(fā)現(xiàn),如果要修復代碼,使其調用到IAT,需要相對地址調用6 bytesL。真是個低級錯誤。

現(xiàn)在patch的結果:


真正需要的是:



這樣只有保留變形碼。把殼中對應的代碼copy過來,OEP前生成正確的變形碼。而且脫殼后的程序不能直接看到API名字,很不舒服。

只好把殼的相應代碼搬過來。再次修改dumped_.exe入口處代碼,在把loader空間中的IAT填好后,跳到處理變形碼的位置:



loader在處理IAT時需要調用幾個API,及判斷dll的映射地址、API地址等,先保存需要的數(shù)據(jù)(我們有干凈的IATJ):



由于在前面避開了IAT加密,生成變形碼需要的數(shù)據(jù)已經(jīng)被正確的API地址覆蓋了。用LoadPE把ACProtect的idata section存到文件,然后加到dumped_.exe。



把這個section的密文數(shù)據(jù)copy到dumped_.exe的idata section,覆蓋掉干凈的IAT,我們已經(jīng)不需要它了。現(xiàn)在只要偽造好現(xiàn)場J。



往下執(zhí)行l(wèi)oader的IAT處理代碼,做幾處小小的修改,使其使用剛才保存的API地址等數(shù)據(jù)。


IAT及變形碼處理結束后回到OEP。



執(zhí)行。又掛了L。這次是內存訪問異常。跟一跟可以知道,是在Hooked MessageBoxA中。這里面的代碼還沒有仔細看,有幾個switch-case分枝。第1次eax為5。



進去后有幾個查表動作:



用調用Hooked MessageBoxA的返回地址查表。這張表在721F25處,dumped_.exe中有,共21項。
注意查表時不是找相等值,而是找大于返回地址值且最接近的值。



繼續(xù)->



這里出現(xiàn)了另外2張表。7220B5的表中數(shù)據(jù)為size。Dumped_.exe中有:



問題出在第3張表:



dump出的數(shù)據(jù)為0。這段代碼要把主程序中的一段數(shù)據(jù)copy到這張表中數(shù)據(jù)所指的地址。在loader中執(zhí)行時,這里填入了指向動態(tài)分配內存的指針。



顯然不能直接復制這些值。有個簡單的辦法可以騙過loader。從那張size表中可以看到,最大的數(shù)據(jù)FD5D。用LoadPE再次增加1個section,size為FFFF即可。



修改dumped_.exe,設置21項數(shù)據(jù),使其全部指向該地址。



在W2K下運行,顯示窗口,但不能響應輸入。在WinXP下運行什么也不顯示。
下面該與主程序交手了,這需要把板凳坐穿的耐心L。

最新評論