[转载]用OD手脱 Armadillo v4.40 DLL壳 (动画)(页 1) - 工程学类分支{ Engineering Column } - 逆向工程[ Reverse Engineering ] - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

pub!1c 2006-2-5 13:05

[转载]用OD手脱 Armadillo v4.40 DLL壳 (动画)

文章作者:regkiller
【作者QQ】14403147 【使用工具】OllyDBG汉化第二版,LordPE,ImportRECv1.6F,PEiDv0.94,PEToolsv1.5.700 【脱壳平台】WinXPSP2 【脱壳目标】Armadillov4.40加过壳的EdrLib.dll文件 【保护选项】Standardprotectiononly仅仅标准保护(单进程) 【加壳方式】Armadillov4.40 -------------------------------------------------------------------------------- 【脱壳内容】 一、准备工作 1侦壳：用PEiD查壳Armadillo2.51-3.xxDLLStub->SiliconRealmsToolworks 这里如何判断Arm的版本呢？记得FLY大狭说过ArmadilloV4.0新增的反跟踪手段: OllyDbg在处理调式包含格式串的消息时存在问题，被跟踪的应用程序可以使OllyDbg崩溃，或可能以进程权限执行任意指令。OutputDebugString函数可发送字符串到调试器上，然后OllyDbg会在底端显示相关状态消息，但是如果包含格式串消息，就可能使OllyDbg崩溃。Armadillo以前的版本没有此种Anti，自V4.0始才有。 有他这句话我们就可以做如下判断了： OD载入 下断点HEOutputDebugStringA Shift+F9运行，中断下来。看堆栈： 0006EA9800B8580F/CALL到OutputDebugStringA来自00B85809 0006EA9C0006F410\String="%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" 出现这个说明这个DLL是经过Armadillo4.X压缩过 2判断进程：DLL文件加壳应该是不可以双进程，所以这里是单进程方式。 二、脱壳 1寻找MagicJump 先用LordPE看看加壳后的DLL信息：基址＝00400000，入口点＝0003FE97 设置Ollydbg忽略所有的异常选项。老规矩：用IsDebug1.4插件去掉Ollydbg的调试器标志 清除断点后OD重新载入 008AFE97>/$55PUSHEBP;停在这里 008AFE98|.8BECMOVEBP,ESP 008AFE9A|.53PUSHEBX 008AFE9B|.8B5D08MOVEBX,DWORDPTRSS:[EBP+8] 008AFE9E|.56PUSHESI 下断点BPGetModuleHandleA+5，Shift+F9运行中断后，注意看堆栈： 这里用BPAPI+5是为了多过壳检查是否下过API断点，相关资料看雪论坛上面可以找到。 0006E458/0006E574 0006E45C|74683BEE返回到74683BEE来自kernel32.GetModuleHandleA 0006E460|0006E464ASCII"D:\WINDOWS\system32\ntdll.dll" 0006E460/0006E57C 0006E464|74683BEE返回到74683BEE来自kernel32.GetModuleHandleA 0006E468|0006E46CASCII"D:\WINDOWS\system32\imm32.dll" 0006E3AC/0006E4C8 0006E3B0|74683BEE返回到74683BEE来自kernel32.GetModuleHandleA 0006E3B4|0006E3B8ASCII"D:\WINDOWS\system32\KERNEL32" 0006E504/0006E620 0006E508|7365D4A4返回到msctfime.7365D4A4来自kernel32.GetModuleHandleA 0006E50C|0006E510ASCII"D:\WINDOWS\system32\ntdll.dll" 0006ED60/0006ED7C 0006ED64|77F45BD8返回到77F45BD8来自kernel32.GetModuleHandleA 0006ED68|77F4501CASCII"KERNEL32.DLL" 00069364/0006EAAC 00069368|00B86DF3返回到00B86DF3来自kernel32.GetModuleHandleA 0006936C|00B9BC1CASCII"kernel32.dll" 00069370|00B9CEC4ASCII"VirtualAlloc" 00069364/0006EAAC 00069368|00B86E10返回到00B86E10来自kernel32.GetModuleHandleA 0006936C|00B9BC1CASCII"kernel32.dll" 00069370|00B9CEB8ASCII"VirtualFree" 000690C8/00069368 000690CC|00B75CE1返回到00B75CE1来自kernel32.GetModuleHandleA 000690D0|0006921CASCII"kernel32.dll";★注意！在这里清除断点后Alt+F9返回程序 这里说下我判断返回的经验，我的经验是一般出现下面这两句就快到返回点了 00069364/0006EAAC 00069368|00B86DF3返回到00B86DF3来自kernel32.GetModuleHandleA 0006936C|00B9BC1CASCII"kernel32.dll" 00069370|00B9CEC4ASCII"VirtualAlloc";★注意这句 00069364/0006EAAC 00069368|00B86E10返回到00B86E10来自kernel32.GetModuleHandleA 0006936C|00B9BC1CASCII"kernel32.dll" 00069370|00B9CEB8ASCII"VirtualFree";★注意这句 00B75CE18B0DAC40BA00MOVECX,DWORDPTRDS:[BA40AC];返回到这里 00B75CE789040EMOVDWORDPTRDS:[ESI+ECX],EAX 00B75CEAA1AC40BA00MOVEAX,DWORDPTRDS:[BA40AC] 00B75CEF391C06CMPDWORDPTRDS:[ESI+EAX],EBX 00B75CF27516JNZSHORT00B75D0A 00B75CF48D85B4FEFFFFLEAEAX,DWORDPTRSS:[EBP-14C] 00B75CFA50PUSHEAX 00B75CFBFF15BC62B900CALLDWORDPTRDS:[B962BC];kernel32.LoadLibraryA 00B75D018B0DAC40BA00MOVECX,DWORDPTRDS:[BA40AC] 00B75D0789040EMOVDWORDPTRDS:[ESI+ECX],EAX 00B75D0AA1AC40BA00MOVEAX,DWORDPTRDS:[BA40AC] 00B75D0F391C06CMPDWORDPTRDS:[ESI+EAX],EBX 00B75D120F842F010000JE00B75E47;MagicJump改JE为JMP避开IAT加密 00B75D1833C9XORECX,ECX 00B75D1A8B07MOVEAX,DWORDPTRDS:[EDI] 00B75D1C3918CMPDWORDPTRDS:[EAX],EBX 00B75D1E7406JESHORT00B75D26 00B75D2041INCECX 00B75D2183C00CADDEAX,0C 00B75D24^EBF6JMPSHORT00B75D1C 把00B75D12这句的JE00B75E47改成JMP00B75E47 2获得重定位信息 下断点bpGetTickCount，Shift+F9运行中断后，注意看堆栈： 0006937000B8C009/CALL到GetTickCount来自00B8C003 0006937000B8C3C8/CALL到GetTickCount来自00B8C3C2;★注意！在这里清除断点后Alt+F9返回程序 00B8C3C82B85A4D4FFFFSUBEAX,DWORDPTRSS:[EBP-2B5C];返回到这里 00B8C3CE8B8DA8D4FFFFMOVECX,DWORDPTRSS:[EBP-2B58] 00B8C3D46BC932IMULECX,ECX,32 00B8C3D781C1D0070000ADDECX,7D0 00B8C3DD3BC1CMPEAX,ECX 00B8C3DF7607JBESHORT00B8C3E8 00B8C3E1C68534D9FFFF0>MOVBYTEPTRSS:[EBP-26CC],1 00B8C3E883BDE4D7FFFF0>CMPDWORDPTRSS:[EBP-281C],0 00B8C3EF0F858A000000JNZ00B8C47F 在CPU窗口按Ctrl+S查找如下代码 PUSHEAX XCHGCX,CX POPEAX STC 找到代码如下： 00B8CF5450PUSHEAX 00B8CF5566:87C9XCHGCX,CX 00B8CF5858POPEAX 00B8CF59F9STC 我们在00B8CF54行按F2设置断点，然后F9执行后取消断点到这里后窗口里出现了红色代码 00B8CF59C705E0C0B9006&gt;MOVDWORDPTRDS:[B9C0E0],0B9CB60;★从这里开始出现红色代码 00B8CF63A1E49FBA00MOVEAX,DWORDPTRDS:[BA9FE4] 00B8CF688B00MOVEAX,DWORDPTRDS:[EAX];★这个00006000就是重定位表的RVA 00B8CF6A89853CD9FFFFMOVDWORDPTRSS:[EBP-26C4],EAX 00B8CF70A1E49FBA00MOVEAX,DWORDPTRDS:[BA9FE4] 00B8CF7583C004ADDEAX,4 00B8CF78A3E49FBA00MOVDWORDPTRDS:[BA9FE4],EAX 00B8CF7DA1E49FBA00MOVEAX,DWORDPTRDS:[BA9FE4] 00B8CF828B00MOVEAX,DWORDPTRDS:[EAX];★这个000003B0就是重定位表的大小 00B8CF84898578D9FFFFMOVDWORDPTRSS:[EBP-2688],EAX 00B8CF8AA1E49FBA00MOVEAX,DWORDPTRDS:[BA9FE4] 00B8CF8F83C004ADDEAX,4 00B8CF92A3E49FBA00MOVDWORDPTRDS:[BA9FE4],EAX 00B8CF9783BD3CD9FFFF0>CMPDWORDPTRSS:[EBP-26C4],0;★重定位表的RVA为0吗？ 00B8CF9E746FJESHORT00B8D00F;★为0则重定位处理 00B8CFA083BD78D9FFFF0>CMPDWORDPTRSS:[EBP-2688],0;★重定位表的大小为0吗？ 00B8CFA77466JESHORT00B8D00F;★为0则重定位处理 00B8CFA98B85FCD7FFFFMOVEAX,DWORDPTRSS:[EBP-2804] 00B8CFAF8B8D0CD8FFFFMOVECX,DWORDPTRSS:[EBP-27F4] 00B8CFB53B4834CMPECX,DWORDPTRDS:[EAX+34] 00B8CFB87455JESHORT00B8D00F;★如与映像基址不符则重定位处理！ 00B8CFBAFFB578D9FFFFPUSHDWORDPTRSS:[EBP-2688] 00B8CFC08B850CD8FFFFMOVEAX,DWORDPTRSS:[EBP-27F4] 00B8CFC603853CD9FFFFADDEAX,DWORDPTRSS:[EBP-26C4] 00B8CFCC50PUSHEAX 00B8CFCD8B85FCD7FFFFMOVEAX,DWORDPTRSS:[EBP-2804] 00B8CFD3FF7034PUSHDWORDPTRDS:[EAX+34] 00B8CFD6FFB50CD8FFFFPUSHDWORDPTRSS:[EBP-27F4] 00B8CFDCE83C150000CALL00B8E51D;★重定位处理CALL 00B8CFE183C410ADDESP,10 00B8CFE40FB6C0MOVZXEAX,AL 00B8CFE785C0TESTEAX,EAX 00B8CFE97524JNZSHORT00B8D00F 00B8CFEB8B4508MOVEAX,DWORDPTRSS:[EBP+8] 00B8CFEE8B00MOVEAX,DWORDPTRDS:[EAX] 00B8CFF0C70007000000MOVDWORDPTRDS:[EAX],7 00B8CFF66850CBB900PUSH0B9CB50;ASCII"LocationCPG" 00B8CFFB8B4508MOVEAX,DWORDPTRSS:[EBP+8] 00B8CFFEFF7004PUSHDWORDPTRDS:[EAX+4] 00B8D001E824800000CALL00B9502A;JMP到msvcrt.strcpy 00B8D00659POPECX 00B8D00759POPECX 00B8D00833C0XOREAX,EAX 00B8D00AE9A5070000JMP00B8D7B4 我们把00B8CFB8的JE00B8D00F改成JMP00B8D00F跳过重定位处理，这样就不需要修改DLL的基址了，否则修改基址为OEP处看到的基址，如这里为00870000 现在我们Alt+M打开内存查看窗口，看到这个DLL的给个区段 0087000000001000EdrLibPE文件头ImagRRWE 0087100000003000EdrLib.textImagRRWE 0087400000001000EdrLib.rdata输出表ImagRRWE 0087500000001000EdrLib.data数据ImagRRWE 0087600000001000EdrLib.relocImagRRWE 0087700000040000EdrLib.text1代码ImagRRWE 008B700000010000EdrLib.adata代码ImagRRWE 008C700000010000EdrLib.data1ImagRRWE 008D700000010000EdrLib.reloc1重定位ImagRRWE 008E700000030000EdrLib.pdata输入表ImagRRWE 在0087100000003000EdrLib.text★这里设置内存访问断点F9运行，中断在OEP 008711C955PUSHEBP;等待已久的OEP终于出现了 008711CA8BECMOVEBP,ESP 008711CC53PUSHEBX 008711CD8B5D08MOVEBX,DWORDPTRSS:[EBP+8] 008711D056PUSHESI 008711D18B750CMOVESI,DWORDPTRSS:[EBP+C] 008711D457PUSHEDI 008711D58B7D10MOVEDI,DWORDPTRSS:[EBP+10] 008711D885F6TESTESI,ESI 008711DA7509JNZSHORTEdrLib.008711E5 用LordPE选中Ollydbg的loaddll.exe的进程，在下面的列表里选择EdrLib.dll，然后完整脱壳，得到dumped.dll。 我们用LordPE打开dumped.dll到目录中修改重定位:RVA=6000大小=3B0然后保存修改 3搞定输入表 因为已经修改了MagicJump，所以现在可以得到完整的输入表。随便从程序找个API调用： 00871383FF1524404000CALLDWORDPTRDS:[404024] 由于我们刚才已经跳过了重定位处理所以这里是未经过重定位处理的地址 我们在命令行里输入D874024上下看到许多函数地址，很明显的可以找到IAT开始和结束的地址： 00874024A2CA817C161E807C0DE0807C3797807C...|...|...|7..| 00874034F59B807C0F2B817C5334817C5097807C...|.+.|S4.|P..| 00874044CFC6807CA92C817C6910817CEE1E807C...|?.|i..|...| 008740548A18937C57B3807C3FDC817CE0C6807C...|W..|?..|...| 我们在数据窗口中用长型地址的方式显示数据将看到许多函数 008740247C81CAA2kernel32.ExitProcess 008740287C801E16kernel32.TerminateProcess 0087402C7C80E00Dkernel32.GetCurrentProcess 008740307C809737kernel32.GetCurrentThreadId 008740347C809BF5kernel32.TlsSetValue 008740387C812B0Fkernel32.TlsAlloc 0087403C7C813453kernel32.TlsFree 008740407C809750kernel32.TlsGetValue 008740447C80C6CFkernel32.SetHandleCount 008740487C812CA9kernel32.GetStdHandle 0087404C7C811069kernel32.GetFileType 008740507C801EEEkernel32.GetStartupInfoA 现在上下滚动窗口就可以很容易的找到IAT的开始和结束的地址 开始地址＝00874000 结束地址＝008740CB 但是现在直接用ImportREC选取EdrLib.dll,填入RVA=00004000、大小＝CB，却提示“不能载入当前进程相关数据信息!” 看看ImportREC的日志： 映像基地址:00400000大小:00097000 ->>模块被选择!:e:\试炼场\脱壳学习\dll脱壳\armadillo\edrlib.dll\edrlib.dll 原来ImportREC显示EdrLib.dll的基址还是00400000，呵呵 如果填入RVA=00474000、大小＝CB，可以得到输入表，却无法完成修复抓取文件。为何？都是重定位惹的祸啦。 于是利用FLY大狭的移花接木的办法：再打开一个Ollydbg，载入Win98的NotePad.EXE，然后把00874000－008740CB的数据复制、粘贴进NotePad.EXE的00404000－004040CB，然后用ImportREC选择NotePad.EXE进程，填入RVA=00004000、大小＝CB，得到输入表，CUT掉垃圾指针，改OEP=000011C9，就可以FixDump啦！ 三善后工作 1优化 用LordPE删除dumped_.dll的text1、adata、data1、reloc1、pdata共5个区段，然后去掉“转存修正”和“清除重定位表”选项，重建PE简单优化一下脱壳后的文件，672K->16.9K，比加壳前的原文件还小了。 2修复查壳显示错误 脱壳后的DLL用PEiD看依旧显示“Armadillo2.51-3.xxDLLStub->SiliconRealmsToolworks”，用FI看显示“MSVC++v6.0{DLL}”。用PETools打开dumped_.dll在可选头部中修改主连接器版本为06副连接器版本00，现在再用PEiD查看显示为：MicrosoftVisualC++6.0DLL 3测试脱壳文件 把dumped_.dll名字改成EdrLib.dll然后运行EdrTest.exe看是否正确调用脱壳后的DLL文件 -------------------------------------------------------------------------------- 【脱壳总结】 Armadillov4.40这个版本的获得重定位信息的位置与以前的版本有点出入，我的获得方法是在修改了MagicJump后对00870000段设置内存访问断点中断1次后一步步手动跟踪后才发现用bpGetTickCount这个断点断2次后返回并F8单步向下走到下面这个特征码 PUSHEAX XCHGCX,CX POPEAX STC 这里教大家一个判断重定位位置和大小的方法。不知道是否通用。 我们可以把DUMP后的文件用LoadPE打开。然后在区段里查看reloc的VOffset来确定重定位的RAV，然后在目录->重定位里点"H"按钮。把从6000开始到后面全是00000000的这段全部选中后看状态行提示的大小就可以了。 -------------------------------------------------------------------------------- 【版权声明】本文纯属技术交流,转载请注明作者并保持文章的完整,谢谢!

页: [1]

邪恶八进制信息安全团队技术讨论组's Archiver

[转载]用OD手脱 Armadillo v4.40 DLL壳 (动画)