手动脱Mole Box壳实战总结

作者:Fly2015

这个程序是吾爱破解脱壳练习第8期的加壳程序,该程序的壳是MoleBox V2.6.5壳,这些都是广告,可以直接无视了。前面的博客手动脱Mole Box V2.6.5壳实战中已经给出了一种比较笨的脱壳的方法,在进行脱壳程序的IAT表的修复的时,采用的是手动记录系统API的地址然后手动的去恢复被加密的系统API的方法,很挫。下面就来讲一讲稍微好点的修复IAT表的方法。

 

回顾一下前面找加壳程序原OEP的步骤。

使用ESP定律进行该加壳程序的脱壳,在硬件写入断点断下来以后,单步F7到地址0046997B3处,发现Call eax指令中的EAX保存是加壳程序真实OEP的VA地址0045159C

手动脱Mole Box壳实战总结_第1张图片

被加壳程序的真实OEP被找到了,但是使用OD的插件OllyDump或者Load PE+ImportREC或者是Scylla_x86进行程序的脱壳,然后运行程序,发现脱壳后的程序运行出错。

手动脱Mole Box壳实战总结_第2张图片

随后找到原因,原来是有部分函数的API地址被加密处理了,具体的被加密的函数如图所示。很显然,地址00455170处保存的系统API的函数地址是第一个被加密处理(具体的怎么找IAT表的方法,看前面的博客)。

手动脱Mole Box壳实战总结_第3张图片

Ctrl+F2再次动态调试分析程序,为要找到IAT表中的函数是怎么被加密处理的,需要在地址00455170处下Dword型的硬件写入断点,4F9后地址00455170处被加密的系统API的函数的地址显示出来了,如图。通过调用GetProcAddress函数获取到的系统API函数的地址保存到了ds:[ECX]中,值得注意。

手动脱Mole Box壳实战总结_第4张图片

F8单步调试程序走几步,发现地址00470F42处调用的函数00471620使用来给IAT表中系统API进行加密处理的。

手动脱Mole Box壳实战总结_第5张图片

F7单步跟进函数00471620进行分析发现,通过置换的方式将ds:[ECX]处的函数地址给修改了。

手动脱Mole Box壳实战总结_第6张图片

OK,程序在调用被加密处理的IAT表中函数时,最终函数调用的还是系统的API也就是说只是给系统的API增加了调用的代理函数。既然是这样,那就将修改IAT表中系统API函数的代码给path掉也就是NOP掉。

手动脱Mole Box壳实战总结_第7张图片

将修改IAT表中函数调用地址的汇编代码mov dword ptr ds:[ecx], eax修改为两条nop指令,然后F8单步运行程序,没什么问题。

手动脱Mole Box壳实战总结_第8张图片

F9运行程序,由于根据ESP定律下的硬件写入断点还在,因此程序会断在设置的硬件写入断点处,F8单步几步即可找到程序真实OEP,如图。

手动脱Mole Box壳实战总结_第9张图片

很显然,加壳程序的真实OEPVA地址为0045159CF7跟进到OEP处。工具搞起,使用Load PE结合ImportREC或者Scylla_x86剪切掉无效的函数指针)对加壳程序进行完美的脱壳。

手动脱Mole Box壳实战总结_第10张图片

运行一下脱壳后的程序,验证脱壳成功。

手动脱Mole Box壳实战总结_第11张图片

手动脱Mole Box壳总结文档和脱壳程序的下载地址:http://download.csdn.net/detail/qq1084283172/8908073


你可能感兴趣的:(box,壳,脱壳,mole,mole,脱Mole,Box壳,Box脱壳)