VB程序的脱壳技巧
发布时间:2020-12-17 07:38:28 所属栏目:百科 来源:网络整理
导读:自己来解决吧,也许能搞出个自创的方法,叫什么Monster脱壳法。 在这里大家必须了解一引些小知识。 VB程序的启动方式:每个VB程序通常都会调用到许多的API,但是其中有一个API是雷 打不动的,这就是我们都知道的ThunRTMain函数。VB程序在运行时,都会首先调
自己来解决吧,也许能搞出个自创的方法,叫什么Monster脱壳法。 在这里大家必须了解一引些小知识。 VB程序的启动方式:每个VB程序通常都会调用到许多的API,但是其中有一个API是雷 打不动的,这就是我们都知道的ThunRTMain函数。VB程序在运行时,都会首先调用 ThunRTMain函数,ThunRTMain函数将会为程序初始化进程,并获取进程ID等做一些 初始工作。 栈帧:每个任务(进程)都有一个栈,而在这个进程中的每个函数被调用时会分别从 这个栈中分出一段区域并占用它,这段区域我们称它为栈帧 函数调用:每一个函数独占自己的栈帧空间,当前正在运行的函数的栈帧总是在系统 栈的顶端,在程序运行时当遇到一个call指令,程序会自动跳到这个call指定所指的 的地址去执行指令,这时call所指向的地址处的指令的开头一般是这样的: push ebp ; 保存调用前的栈桢基址到堆栈 mov ebp,esp ; 把当前堆栈栈顶当做新栈桢基址 其实在做这个动作之前,call指令已经做了另一个动作,就是把call指令下面一条指 令的地址作为被调用函数的返回地址也一起压入了栈中,等到程序遇到retn指令时, 首先从栈中弹出返回地址,并跳到返回地址处执行指令。 现在,我们首先打开VB,做出一个简单的测试程序 接着我们再运行OD,把刚做出来的测试程序载入到OD中,这时我们就可以看到程序停 在了这里 大家看这里的代码: 00401128 > $ 68 9C124000 push 0040129C 0040112D . E8 F0FFFFFF call <jmp.&MSVBVM60.#100> 00401132 . 0000 add byte ptr [eax],al 对于一般来说,如果是用VB做的程序,那么它的的入口点基本都是这样的,我们再来 看看第二句的call,这里的call调用了一个函数<jmp.&MSVBVM60.#100>,但是这到 底是个什么样的函数呢?我们在OD中按Ctrl+N打开程序的输入表看看 第一行就是这个MSVBVM60.#100函数,我们选中这一行后按回车,然后代码就来到了 这里 嘿嘿,原来#100就是ThunRTMain函数啊。 我们来用OD跟踪一下程序,因为第二句就是一个call,所以我们要使用F7跟进这个 call,这时,我们只需要F7一下就好,现在,我们来注意一下OD堆栈窗口中的数据 堆栈窗口中的第一句就是“0012FFBC 00401132 返回到无壳.00401132来自 <jmp.&MSVBVM60.#100>”,这是的00401132是什么呢?从上面的图2中,我可以发现 ,这就是ThunRTMain函数的返回地址,但是00401128才是我们程序的入口点,从 ThunRTMain函数的返回地址和程序入口点的关系,我们可以得出这样一个公式: 程序入口点=ThunRTMain函数的返回地址-AH(AH就是十进制的10) 根据上面所得出的结论,我们现在可以进行脱壳了。 实战篇 现在我们给程序加个ASPack的外壳 把加了壳后的新文件载入OD,接着在OD的命令行窗口中输入BP ThunRTMain,回车, 给ThunRTMain函数下个断点 接着再按F9让程序在OD中运行起来,OD就会被断在 这时就要发挥我们明锐的洞察能力了,嘿嘿,现在我们再来看一下OD右下角的堆栈窗 口中的内容 我们看第一行,0012FFBC这里的数据,是00401132,后面的说明是“返回到加 壳.00401132来自加壳.00401122”,这里告诉我们的地址00401132就应该是 ThunRTMain函数的返回地址了,现在我们再回过头来看看上面的图2,00401132的确 就是ThunRTMain函数的返回地址,我们现在想对程序进行脱壳,就需要知道程序的入 口点,根据我们上面得出的那个公式我们来计算一下: 程序OEP=00401132-AH 00401132-AH=00401128 最后我们得出的程序的入口点就是00401128,现在我们知道了程序的入口点,我们只 要把他DUMP出来就可以了,但是因为现在我们的OD正处于msvbvm60的领空,现在我们 DUMP是不合适的,我们必须先返回到程序的领空,我们在OD中按Alt+F9就可以完成这 一步骤,等OD返回程序的领空后,我们在OD的反汇编窗口中点击鼠标右键选择“Dump debugger process” 接着在弹出的窗口中把Modify这一框中的内容改为程序的入口点地址 现在我们只要把程序从内在中给DUMP出来就可以了,用PEID 来检测一下我们DUMP 后 的文件 运行一下,脱壳成功。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |