飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 5157|回复: 13

吉祥天外挂【穿山甲双进程标准版6.24】脱壳

[复制链接]

该用户从未签到

发表于 2009-3-11 17:02:39 | 显示全部楼层 |阅读模式
首先要感谢PYG版主以及各位热心的网友一直以来无私的帮助,没有你们的帮助,这个外挂的壳也不知道什么时候能脱掉!
   如果你和我一样对穿山甲一无所知,那我们先来恶补一下穿山甲的知识,懂的就直接PASS吧。
如果你手上有穿山甲的软件,请仔细对照了,穿山甲因为种类繁多,脱壳的方法才各不相同的。查壳后显示有Copy MEM II 的就是非标准版啦,其余就是标准版咯,脱穿山甲壳最主要的区别就是这了。
   双变单的脚本坛子上很多,很容易就下载到了!
   关于程序的启动参数问题:
     WIN32 函数的入口都有一个COMMANDLINE 这个就是启动参数,类似DOS 的 int main(char *argv[])。
  废话不说了,进入主题吧。
    用ArmFP 查壳后显示为:
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Nanomites Processing
版本为6.24 。 我们关心的是他的保护方式,知道保护方式后就好办了。 为了方便下像我等超级菜鸟,我就多说几句。 反调试器选项我们不用管,多换几个OD试试,IAT的处理,远地址跳,以及可恶的CC由ARMinline代劳。关于CC,CC是作者在编程的时候加入的标记,刚脱好壳后的程序,一不小心就能找到一个可恶的CC。
   程序为吉祥天FLYWOOOL.exe 版本为2.41 可以到吉祥天的网站或者其他地方下载,我在文章的最后会附上下载地址
   直接用OD载入吧,入口为
00989000 >  60              PUSHAD
00989001    E8 00000000     CALL FlyWoool.00989006
00989006    5D              POP EBP
00989007    50              PUSH EAX

按照前辈们总结的经验,我直接用脚本双变单。
   接下来下he VirtualProtect断点, SHIFT+F9运行,总共7次后程序就跑起来了,总的感觉是有2次缓冲比较大的过程,其中第6次缓冲时间最长,因此第6次断下后就ALT+F9返回,返回后的代码为:
01509DA4    8B8D BCD5FFFF   MOV ECX,DWORD PTR SS:[EBP-2A44] ;//*********返回到这一行**********//
01509DAA    51              PUSH ECX
01509DAB    8B95 B8D5FFFF   MOV EDX,DWORD PTR SS:[EBP-2A48]
01509DB1    52              PUSH EDX
01509DB2    8B85 68D8FFFF   MOV EAX,DWORD PTR SS:[EBP-2798]
01509DB8    0385 B4D5FFFF   ADD EAX,DWORD PTR SS:[EBP-2A4C]
CTRL+F查找PUSH 100 并把这个块选项勾上 找到后在段首找到push ebp

01492DF0    55              PUSH EBP
01492DF1    8BEC            MOV EBP,ESP
01492DF3    83EC 2C         SUB ESP,2C
01492DF6    833D C0A45501 0>CMP DWORD PTR DS:[155A4C0],0
01492DFD    75 59           JNZ SHORT 01492E58
01492DFF    C745 EC D7C68A6>MOV DWORD PTR SS:[EBP-14],618AC6D7
01492E06    68 00010000     PUSH 100

将push 100 修改为retn, 之后下CreateThread断点,断下后返回,然后F8 单步,很快就到达OEP了
01510985    50              PUSH EAX
01510986    6A 00           PUSH 0
01510988    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
0151098B    8B51 0C         MOV EDX,DWORD PTR DS:[ECX+C]
0151098E    52              PUSH EDX
0151098F    8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]
01510992    2B45 DC         SUB EAX,DWORD PTR SS:[EBP-24]
01510995    FFD0            CALL EAX  ;//这就是OEP了

//******************OEP*************//
004E40AC   .  6A 60         PUSH 60
004E40AE   .  68 A0F36E00   PUSH FlyWoool.006EF3A0
004E40B3   .  E8 3C120000   CALL FlyWoool.004E52F4
004E40B8   .  BF 94000000   MOV EDI,94
004E40BD   .  8BC7          MOV EAX,EDI



F7 跟进,OEP就到了,接下来修复的事情都交给ARM 了。
修复远地址跳的时候把length 修改为20000, IAT把大小也改为1000 ,为什么是1000,你可以去试试更大的数,那样是浪费CPU,改小了的话可能不够,但是对于一般的程序还是足够的。
  修复好后就可以脱壳了。

这里我得再多下嘴了:
   到达OEP后我有很多次都是失败的,为什么会这样,我的感觉是穿山甲的断点检测比较严格。然后导致IAT出错,第一次成功之后我没怎么仔细研究,昨天有网友叫我再脱一次,我在自己机器上怎么搞也不行了, 今天换了个以前的OD,居然可以用了,很奇怪的事情。我的猜测是OD检测断点。
  当你脱壳后不能运行那你得换个OD了,DS:[0119B3A0]=014DF2B0 ,如果你是这个14DF2B0地址出错的话,恭喜你,我也不下10次遇到了。换个OD试试。
   修复CC的时候需要注意下,如果直接修复显示为失败的话,那你需要加个启动参数,Arminline 左边有个Edit Command Line,勾上,启动参数为start ,为什么是这个? 吉祥天启动后弹出一个更新的对话框就退出了,如果你在更新的程序里下CreateProcess断的话,你会发现他的参数是FLYWOOOL.EXE start 。
文中相关的工具下载:
      吉祥天2.41:http://www.namipan.com/d/JXT.rar/844ec3abdb6c794e5bbe40aca5d52fc3eedadc3fa6063900
      我脱壳所用的OD :http://www.namipan.com/d/OD.rar/e2c2c8cae978203c02566274701a750d689aadbc0e685800
      脱壳后,以及修复CC后的:http://www.namipan.com/d/%e5%90%89%e7%a5%a5%e5%a4%a9.rar/3d8fda481a547df0878812f17739b8429d455f7fb04d7a00
       破解不是本文的重点,各位自己去体会吧,不过这个挂不能爆破,爆破后他的程序在收发TCP包的时候会解析错误,希望有心人能够分享下他的数据包解密报告。直接修改本地DNS,可以把发送到server.jxtwg.com的数据包改到自己想要的地方。
其余工具皆来自小生我怕怕工具包
email:msn1900@yeah.net
QQ:    156164697
视频地址:http://www.namipan.com/d/%e5%bd% ... c40336e816b7437a902
                  //版权没有,还是别到处发了//

[ 本帖最后由 msn1900 于 2009-3-11 20:37 编辑 ]
PYG19周年生日快乐!
  • TA的每日心情
    擦汗
    2023-2-6 09:24
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2009-3-11 21:19:36 | 显示全部楼层
    狂顶支持!
    PYG19周年生日快乐!
  • TA的每日心情
    擦汗
    2023-2-6 09:24
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2009-3-11 21:23:57 | 显示全部楼层
    我破的步骤和你的有点区别,呵呵
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2009-3-11 21:50:13 | 显示全部楼层
    这段时间一直在修行这个壳子
    看天草的穿山甲脱壳视频不下10遍了,越看越有意思
    大体步骤都是差不多的,但是有的一些小细节总是做的不好,脱不成功
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    19 小时前
  • 签到天数: 1633 天

    [LV.Master]伴坛终老

    发表于 2009-3-12 18:20:38 | 显示全部楼层
    新版的ARM教程很少,特别是6.40版的,需要学和支持!
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2022-4-1 09:59
  • 签到天数: 76 天

    [LV.6]常住居民II

    发表于 2009-3-17 22:05:57 | 显示全部楼层
    这个搞了好久还是没搞定,郁闷的

    双转单脚本没找到,手工转不成
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2009-3-19 15:28:12 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2009-3-30 18:16:20 | 显示全部楼层
    支持,一定要学习
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2009-4-4 03:06:53 | 显示全部楼层
    顶一下。
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2022-6-7 22:07
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2009-7-1 13:48:39 | 显示全部楼层
    有点意思!歇息了!
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表