逆向破解

逆向破解

暴力破解

原理:

脱壳以后,如果软件有登录机制,我们可以利用软件登录时提供的关键字,反汇编后找到关键跳转。

确认跳转是否与登录失败有关,如果有关系,想办法让跳转不实现。

直接修改汇编代码,把关键命令跳转修改为nop,就可以去除登录验证了。

实验过程:

  • 尝试运行

  • 发现关键词False

  • PEiD查不出壳,用OD调试

  • Ctrl+g 00401000来到代码段

  • 右键中文搜索引擎,搜索关键字False

  • 双击找到False对应的代码,向上找相关的跳转,”>”表示有跳转进入,”﹀”表示有向下的跳转。找到可能的跳转关键句,下断,运行。

  • 出现登录界面,随意输入使得登录失败,观察跳转是否实现

  • 灰色线变成红色,表示登录失败后跳转实现。

  • 右键,二进制,用Nop填充,并复制到可执行文件,保存文件,尝试运行,破解成功。

逆向破解——程序去自校验方法

自校验

意思是这些程序会检查自己有没有被修改,如果发现被修改的话,便会离开或进行其它动作。基本的校检方法包括 checksum, 检查大小, 检查跳转代码,等等。

什么情况下考虑自校验

当一个程序脱壳前可以正常运行,脱壳以后不能运行,修复以后也不行,程序不能运行或者闪退、弹窗提示错误等,我们就要考虑是不是因为程序有自校验了。

自校验破解思路

将脱壳前和脱壳后的程序分别单步运行,对比找出关键跳转,使得自校验保护程序的跳转不能实现。

实验步骤

  • 尝试运行练习程序

  • 查壳

  • ESP定律法脱壳,单步,数据窗口跟随当前ESP值,设置硬件访问断点,运行到断点处,单步运行到程序OPE

  • 脱壳后提示程序被非法修改,不能运行。

  • 尝试修复,自动修复-->失败

  • 手动修复

  • IAT起始地址

  • IAT结束地址

  • size=25c-190=cc

  • 手动修复IAT后

  • 修复后仍不能运行,考虑自校验,把脱壳后的程序发送到OD,原始程序脱壳完停留在OPE的界面不要关,我们来对比原始程序和脱壳完成的程序。

  • 在命令输入 bp CreateFileA,定位到kernel32的CreateFileA函数

  • CreateFileA是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道。

  • 两边都对这个函数下断点,然后运行到断点处,再执行到用户代码。

  • 先下API断点,执行到断点处,我们就来到函数内部;然后执行到用户代码,回到主程序中调用这个API的位置。

  • 至于为什么是CreateFileA,我觉得自校验之前可能要打开文件,读取一些校验信息。

  • 接下来单步运行,对比脱壳前后两个程序的跳转。

  • 这个跳转在脱壳后的程序20145315_.exe里实现了;

  • 但是在还未脱壳的程序 练习.exe 里没有实现。

  • 这是一个条件跳转

cmp eax ,dword ptr ss:[ebp-0x8]
Jnz shoet  00401215

如果当前eax的值与ss:[ebp-0x8]相等,跳转实现;
JE/JZ 等于转移;
JNE/JNZ 不等于时转移.

  • 修改方法有很多种

  • 比如,用Nop替换

  • 保存到可执行文件

  • 修改后正常运行

  • 还可以做其他修改

  • 比如直接修改汇编语言
    cmp eax ,dword ptr ss:[ebp-0x8]
    Jnz shoet 00401215
    如果当前eax的值与ss:[ebp-0x8]相等,跳转实现
    JE/JZ 等于转移
    JNE/JNZ 不等于时转移
    把汇编语句修改为jz short 00401215

  • 保存,显示正常运行

逆向破解——处理附加数据

附加数据[overlay]

  • 实际应用:软件要处理一些数据流文件,这些数据文件被单独的保存在硬盘上,当我们使用notepad的打开功能的时候,就可以去读取数据文件了。如果将这些需要读取的数据放到pe文件的后面,让程序自动的运行打开的功能,而不需要打开操作。
  • 一般情况下,代码运行时,会根据文件偏移RA,文件偏移大小RS和与其对应的虚拟地址偏移VA,虚拟地址偏移大小VS的值,把磁盘的代码、数据、资源等加载到内存中。
  • 如果数据不在PE的区段中,代码执行时就不会从磁盘被映射到内存,就是说如果在文件中存在不在区段里面的数据,这部分数据就被认为是附加数据(overlay).
  • overlay是不映射到内存的,他将被程序以打开自己的方式来读取数据

处理附加数据

  • 附加数据是在附加在文件后面的,不被映射到内存空间中的数据,他提供他自己的程序打开自己来读取,所以dump下来的时候是没有overlay的,需要我们手动把这一部分的数据粘贴到dump下来的数据后面。
  • 一般来说在区段里面我们能找到所有区段的大小,这个大小的后面就是overlay的开始,就是说,overlay的开始地方就是最后一个区段的RA+RS

工具与环境

  • 环境:WIN XP虚拟机
  • 工具:PEiD查壳、OD调试、WinHEX 16进制编辑器

实验步骤

  • 查壳

  • 开头是pushfd和pushad入栈,后面的出栈命令肯定是popad和popfd

  • 在出栈命令处下断点,再单步,运行到OPE

  • 脱壳后查壳,显示无壳,但是附加数据的标志[overlay]也没有了,因为用OD载入时,附加数据没有映射到内存,所以domp程序时,附加数据没有被复制。

  • 尝试运行,运行失败,打不开。

  • 尝试修复,自动修复IAT

  • 运行,还是不行,滴的一声,无法运行。

  • 查壳中有[Overlay],表示有附加字段。

  • 我们用两种方法来处理附加数据

方法一

  • 用WinHex打开还未脱壳的程序,拉到底,从最下方开始向上查找第一段全零数据。

  • 原理:由于文件的对齐机制,磁盘上每个段的结束都填充了大量的0.附加数据在文件末尾,所以只要找到磁盘文件中最后一个全零段,接下来就是附加数据。

  • 把附加数据复制粘贴到脱壳以后的文件中,运行成功。

  • 再次查壳,显示有附加数据。

方法二

  • 在loadPE中打开未脱壳的程序

  • 打开PE编辑器,打开程序区段表

  • 找区段表里的最后一个区段

  • 找到文件偏移RA和文件偏移大小RS

  • [RA+RS]=0X4000+X8800=0X8C00

  • 用WinHex打开,转到偏移量8C00

  • 从8C00开始,就是附加数据,把附加数据复制到脱壳后的程序末尾即可。

posted @ 2017-07-06 09:15  君知らない  阅读(1440)  评论(0编辑  收藏  举报