在软件的破解过程中,经常会遇到程序的自效验问题,什么是自效验?当文件大小发生变化,或者MD5特征变化的时候就会触发自效验暗装,有些暗装是直接退出,而有些则是格盘蓝屏等,所以在调试这样的程序的时候尽量在虚拟机里面进行吧。
这里作者编写了一个文件自效验的例子,并且使用UPX进行了加壳处理,这个CM程序,如果不脱壳的情况下是可以正常执行的,但只要一脱壳程序就废了,这也是大多数程序作者惯用的反破解手法,今天我们就来搞一搞,最终实现的效果是,软件被脱壳,并且程序还照样正常的执行,好了废话不多说,直接开搞。
------------------------------------------------------------
本章难度:★★★☆☆☆☆☆☆☆
课程课件:https://pan.baidu.com/s/1XBnNBO-9ZMkBHAoBRKYqeA 提取码:4a8z
------------------------------------------------------------
1.首先将程序载入OD中,默认会出现一个提示窗口,一般看到这个窗口就说明软件被压缩了,这里点是点否都可以,为了节约时间我就点否了哈。
2.然后直接运行程序,观察程序的OEP位置,会发现有壳,一般情况下看到【pushad】之类的指令开头,八成是压缩壳。
3.先来脱壳,直接上ESP定律,按下【F8】单步一次,观察右侧寄存器窗口,只用ESP寄存器变红,就可以使用ESP定律。
4.右键点击ESP寄存器中的数值,直接选择最下方的【HW break [ESP]】,然后点击运行程序。
5.然后单步【F8】,或者在sub esp的位置按下【F4】,然后直到jmp跳转。
6.会看到下面就是程序的OEP位置了,你或许会有疑问,我咋知道这是OEP呢?原因很简单,看多了就记住了,就像老司机,开车开多了啥都懂了,这些特征需要自己熟记。
上图我们需要记住一个关键数据【0045FB81】,这个地址是程序的OEP地址,我们要减去【00400000】,也就是只要记住【5FB81】就好,为啥要减去00400000 ?
哈哈,回到OD,按下【Alt +E】,看到了吧,基地址也就是程序在编译时指定的一个地址段,我们只需要得到偏移地址就好。
7.现在OD程序不要动,我们接着打开神器【LordPE】,来完整转存一份镜像。
8.接着打开【Import REC】来进行脱壳修复。
9.删除无效函数,和可疑函数,然后点击【修复转存文件】,然后转存到【dumpe.exe】上面。
10.此时在桌面生成了一个dumped_.exe文件,这就是我们脱壳后的程序,程序可以照常运行了并没有出现错误,说明程序脱壳顺利,但是程序内部存在暗装,由于我们脱掉了他的衣服,所以触发了暗装程序被迫终止了。下一步是直接破解跳过这个暗装。
这个程序其实有很多种破解思路,如果用MessageBox信息框的方式来解决是很简单的,但是有些程序在脱壳后,是不会有任何提示的,程序会直接终止执行,本章我不打算使用信息框断点来拦截,我们得想一种新的思路,确保在程序没有任何提示的情况下依然能够破解程序。
2.接着使用ESP定律,快速定位到程序的OEP位置,这里没啥可解释的,如果有疑问可以先去看一下脱壳的文章。
到达程序OEP处,我们记录下修正后的镜像大小,此处直接取消。这里不使用OllyDump脱壳。
3.打来LordPE,选择修正镜像大小,然后选择完整脱壳。
4.接着使用importREC修复下文件,先将前面的OEP地址复制到OEP处,然后点击自动搜索,然后获取输入表,显示无效函数,和显示可疑函数,可以看到2个可疑函数。
5.直接右键,删除指针数据,然后点击右下角的修复转存文件。直接保存到dumped.exe 上面
6.此时在桌面生成了一个dumped_.exe文件,这就是我们脱壳后的程序啦,程序可以照常运行了并没有出现错误,说明程序脱壳顺利,但是程序内部存在暗装,由于我们脱掉了他的衣服,所以触发了暗装程序被迫终止了。下一步是直接破解跳过这个暗装。
7.先来观察一下脱壳前和脱壳后的文件大小的变化,后期我们可能会用到这个变化后的数值。
脱壳前的大小是:466432 而脱壳后的大小变成了:929792 文件变大了,压缩壳就是如此。
8.使用OD载入这个脱壳后的程序,由于程序运行后会提示一个MessageBox信息框,那么我们就拦截这个API,当然也可以拦截ExitProcess这个API,此处们就下一个MessageBoxA断点吧。
9.直接运行程序,会断在MessageBox上,我们单步F8步过,然后点击弹窗中的确定,然后ret返回到程序领空。
10.回到程序领空之后,向上找,看有没有能跳过弹窗的call,很明显,这一层并没有,我们继续F8单步执行,直到遇到ret返回。
11.返回之后,会发现代码如下,本层代码简短没有跳转指令,我们继续ret返回到上一层看看。
12.上面的图中,返回之后会看到以下代码,这里已经找到了弹窗的调用位置了。
13.在CMP处下一个断点,然后从新载入程序。
14.重载后发现,程序在cmp处断下来了,我们计算一下十六进制0x71E00等于十进制的多少。等于十进制的466432,刚好是脱壳前的文件大小。
15.将其改为脱壳后的文件大小试试。脱壳后的大小是929792也就是十六进制的E3000,我们直接改成E3000
16.发现跳转便成了红色,跳转实现了,没错了
17.直接复制可执行文件,选择性保存
18.打开破解版本,看看,成功啦,软件成功被脱壳,而且程序正常启动了。
写教程不容易,转载请加出处,您添加出处,是我创作的动力!