VMP脫殼技術.doc

Winlicense v記事本脫殼(圖)Winlicense v記事本脫殼By VirusWizard今天第一次接觸Themida/Winlicense，基本上都是腳本，算不上什么技術，但作為實驗，記錄一下?？傮w流程：使用Nooby的腳本跑到FakeOEP，然后修復StolenCode。首先使用Winlicense v調了不少高級屬性給WindowsXP的記事本加個殼。然后調整腳本中的Base記事本的WinLicen的Base。我這里的Base是01015000，所以對應的代碼修改成：mov tmdbase, 01015000接下來用StrongOD，選項全部勾上，開始跑腳本。跑完腳本之后，來到這里：0100756868 BA750001 push010075BA0100756D64:A1 00000000 mov eax, dword ptr fs:00100757350pusheax010075748B4424 10 mov eax, dword ptr esp+1001007578896C24 10 mov dword ptr esp+10, ebp0100757C8D6C24 10 lea ebp, dword ptr esp+10010075802BE0sub esp, eax0100758253pushebx0100758356pushesi0100758457pushedi010075858B45 F8 mov eax, dword ptr ebp-8010075888965 E8 mov dword ptr ebp-18, esp0100758B50pusheax0100758C8B45 FC mov eax, dword ptr ebp-40100758FC745 FC FFFFFFFmov dword ptr ebp-4, -1010075968945 F8 mov dword ptr ebp-8, eax010075998D45 F0 lea eax, dword ptr ebp-100100759C64:A3 00000000 mov dword ptr fs:0, eax010075A2C3retn觀察堆棧，發(fā)現這個：0006FF8C 011ABF9B NOTEPAD_.011ABF9B0006FF90 01001898 NOTEPAD_.010018980006FF94 0000007070有些眼熟，用OD打開原記事本，看到頭兩行：0100739D $ 6A 70 push70 ; (initial cpu selection)0100739F . 68 98180001 push01001898然后F4到011ABF9B，這個時候會進入VM，我暫時還沒那技術去分析。參考了網上別人的文章，方法是：Alt+M，然后在.code段F2下斷，然后F9。第一次來到這里：010E567FFF32pushdword ptr edx; kernel32.GetModuleHandleA010E5681 E9 60ECFFFF jmp 010E42E6010E568681C4 04000000 add esp, 4010E568CE9 A05F0000 jmp 010EB631顯然還在VM中，重復一遍，來到這里：010073F28379 74 0Ecmp dword ptr ecx+74, 0E010073F6 76 E2 jbe short 010073DA010073F833C0xor eax, eax010073FA3999 E8000000 cmp dword ptr ecx+E8, ebx010074000F95C0setne al010074038945 E4 mov dword ptr ebp-1C, eax01007406895D FC mov dword ptr ebp-4, ebx010074096A 02 push20100740B90nop0100740CE8 6BDFC276 callmsvcrt._set_app_type代碼比較整齊，對比原記事本，發(fā)現好了。我承認這樣斷不是一種很好的方法，但是確實奏效。接下來修復StolenCode。原始OEP位于0100739D，跳過去看了一下，代碼已經面目全非了。于是偷懶了，選中原記事本的0100739D010073DD，然后選中二進制復制，接下來粘貼到欲脫的程序中。然后選中0100739D右鍵New origin here，插件Dump之，不選中Rebuild Import。運行出錯，需要修復。打開ImpRec，選中進程，OEP寫0000739D，RVA寫1000，Size寫00000340。然后修復文件即可?？戳讼挛募笮?，有1.83 MB (1,921,024 bytes)，比原來的大了幾倍。下面開始優(yōu)化文件，用LordPE打開脫殼修復了的文件，刪掉WinLicen區(qū)段，然后重建PE。文件優(yōu)化到了72.9 KB (74,742 bytes)，算是比較完美了。EndNooby大牛的腳本不錯，現在先能用，到時候再學習。菜鳥也脫VMProtect v.1.6x - 1.7 (demo)本文來自: UPK軟件安全社區(qū) 作者: lofrank 日期: 2009-12-10 13:54 閱讀: 1088人 收藏 demo, VMProtect, 菜鳥【文章標題】: 菜鳥也脫VMProtect v.1.6x - 1.7 (demo)【文章作者】: lofrank【軟件名稱】: VS2.5【軟件大小】: 壓縮包 3.41M【下載地址】: /files/317391173/vs2.5_.rar.html【加殼方式】: VMProtect v.1.6x - 1.7 (demo)【編寫語言】: VC【使用工具】: OD,UIF,ImportREC【作者聲明】: 只是感興趣，沒有其他目的。失誤之處敬請諸位大俠賜教!-【詳細過程】我是菜鳥，聽說以后的軟件保護趨勢是VM，于是便也想學習下。正好發(fā)現VS 2.5的主程序VSClient.exe是用VMProtect加殼的（說明：VS早已經強制更新了，2.5版本早已不可用，所以拿來分析下，僅做學習用），于是拿來練習下。首次脫殼后，發(fā)現用OD載入能正常運行，直接運行卻出錯，于是發(fā)了求助帖，娃娃魚熱心的幫我脫了殼，而且告訴我，我的方法沒錯，后來想想可能是我選了UIF的“Fix Directly Imports”選項導致的，不選修復后的程序沒問題，能正常運行，現在把過程拿出來分享下，權當總結。本文若存在錯誤的地方，煩請不吝指出，謝謝！首先配置了下海風大俠的SOD，躲過VMP的反調試，然后OD載入，停在入口處，如下：00709911 68 20FAF1B4 push B4F1FA2000709916 E8 52CD0100 call 0072666D0070991B 29D9 sub ecx, ebx0070991D 54 push esp0070991E 9C pushfd0070991F 8D6424 2C lea esp, dword ptr ss:esp+2C00709923 0F85 D2AA0000 jnz 007143FB00709929 60 pushadF8單步執(zhí)行后，ESP 寄存器值為 0012FFC0，首先想到ESP定律但是不成功。在論壇找到nooby大俠提供的思路是：在VirtualProtect里調用VirtualProtectEx的地方下斷點，然后等最后一次的時候dump，程序范圍內搜索68?e8,某一個就是oep，自己試幾次就行了。然后跑iat fix腳本，跑完以后再dump，然后別關，f9，如果停下來，手動修復。最后uif重建iat。于是在VirtualProtect里調用VirtualProtectEx的地方下斷點，F9 11次后，程序運行了；重新載入，F9 10次停下，按照nooby的方法，去程序范圍0401000處搜索68?e8，卻發(fā)現結果很多，又沒法判斷哪個是OEP。但是不管怎樣，代碼解壓完成了，將要運行到OEP處了，于是刪除VirtualProtect處斷點，Alt+M，在.text代碼段下內存訪問斷點，F9，停在如下代碼處：004F0F90 55 push ebp004F0F91 8BEC mov ebp, esp004F0F93 6A FF push -1004F0F95 68 406B5100 push 00516B40004F0F9A 68 20124F00 push 004F1220 ; jmp 到 msvcrt._except_handler3004F0F9F 64:A1 00000000mov eax, dword ptr fs:0004F0FA5 50 push eax004F0FA6 64:8925 0000000mov dword ptr fs:0, esp004F0FAD 83EC 68 sub esp, 68004F0FB0 53 push ebx004F0FB1 56 push esi004F0FB2 57 push edi004F0FB3 8965 E8 mov dword ptr ss:ebp-18, esp004F0FB6 33DB xor ebx, ebx004F0FB8 895D FC mov dword ptr ss:ebp-4, ebx004F0FBB 6A 02 push 2004F0FBD FF15 68C55400 call dword ptr ds:54C568 ; msvcrt._set_app_type004F0FC3 59 pop ecx004F0FC4 830D 04925400 For dword ptr ds:549204, FFFFFFFF004F0FCB 830D 14925400 For dword ptr ds:549214, FFFFFFFF004F0FD2 FF15 64C55400 call dword ptr ds:54C564 ; msvcrt._p_fmode因為以前看過MFC的程序，所以知道這應該就是OEP了，和nooby大俠說的不太一樣，仔細一想，估計nooby的方法是用在正式版上的，demo版沒那么復雜吧。用插件dump先，接下來的工作就是修復輸入表了。上網找了幾個修復VMP IAT的腳本，發(fā)現都沒反正，應該是版本不匹配，但想起nooby說最后要用uif重建IAT，或許VMP demo版可以省略跑iat fix腳本部分了，于是下了個uif（第一次用這工具），Process ID處填上VSClient.exe的PID，其它全默認，點start，等結束后，uif給出了IAT的RVA和SIZE，Fixing Success.Fixed Module : VSClient.exeImage Base : 00400000IAT RVA: 00EF0000IAT Size : 00000E9CNormal Imports : 14470Directly Imports : 0All Imports : 14470打開Import REC，填上RVA和Size，點“Get Imports”獲取輸入表，點“Show Invalid”查看不可用的輸入表信息，本人太菜，不知道怎么處理，于是直接刪了，后來證明這些不影響程序正常運行，可能是VMP的SDK之類吧，知道的請告知。給之前dump下來的文件修復時，卻提示“ Cant match RVA to Offest in the dump file”，去除“Use PE Heade