反编译jne

❶ 反调试是什么

免杀就不知道了.反调试就是禁止调试一般有这样的一些原理.一、反调试技术反调试技术是一种常见的反检测技术，因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点，恶意软件可以检查自己代码是否被设置了断点，或者直接通过系统调用来检测调试器。1.断点为了检测其代码是否被设置断点，恶意软件可以查找指令操作码0xcc（调试器会使用该指令在断点处取得恶意软件的控制权），它会引起一个SIGTRAP。如果恶意软件代码本身建立了一个单独的处理程序的话，恶意软件也可以设置伪断点。用这种方法恶意软件可以在被设置断点的情况下继续执行其指令。恶意软件也可以设法覆盖断点，例如有的病毒采用了反向解密循环来覆盖病毒中的断点。相反，还有的病毒则使用汉明码自我纠正自身的代码。汉明码使得程序可以检测并修改错误，但是在这里却使病毒能够检测并清除在它的代码中的断点。2.计算校验和恶意软件也可以计算自身的校验和，如果校验和发生变化，那么病毒会假定它正在被调试，并且其代码内部已被放置断点。VAMPiRE是一款抗反调试工具，可用来逃避断点的检测。VaMPiRE通过在内存中维护一张断点表来达到目的，该表记录已被设置的所有断点。该程序由一个页故障处理程序(PFH)，一个通用保护故障处理程序(GPFH)，一个单步处理程序和一个框架API组成。当一个断点被触发的时候，控制权要么传给PFH(处理设置在代码、数据或者内存映射I/O中的断点），要么传给GPFH（处理遗留的I/O断点）。单步处理程序用于存放断点，使断点可以多次使用。3.检测调试器在Linux系统上检测调试器有一个简单的方法，只要调用Ptrace即可，因为对于一个特定的进程而言无法连续地调用Ptrace两次以上。在Windows中，如果程序目前处于被调试状态的话，系统调用isDebuggerPresent将返回1，否则返回0。这个系统调用简单检查一个标志位，当调试器正在运行时该标志位被置1。直接通过进程环境块的第二个字节就可以完成这项检查，以下代码为大家展示的就是这种技术：mov eax, fs:[30h]move eax, byte [eax+2]test eax, eax jne @DdebuggerDetected在上面的代码中，eax被设置为PEB(进程环境块)，然后访问PEB的第二个字节，并将该字节的内容移入eax。通过查看eax是否为零，即可完成这项检测。如果为零，则不存在调试器；否则，说明存在一个调试器。如果某个进程为提前运行的调试器所创建的，那么系统就会给ntdll.dll中的堆操作例程设置某些标志，这些标志分别是FLG_HEAP_ENABLE_TAIL_CHECK、FLG_HEAP_ENABLE_FREE_CHECK和FLG_HEAP_VALIDATE_PARAMETERS。我们可以通过下列代码来检查这些标志：mov eax, fs:[30h]mov eax, [eax+68h]and eax, 0x70test eax, eaxjne @DebuggerDetected在上面的代码中，我们还是访问PEB，然后通过将PEB的地址加上偏移量68h到达堆操作例程所使用的这些标志的起始位置，通过检查这些标志就能知道是否存在调试器。检查堆头部内诸如ForceFlags之类的标志也能检测是否有调试器在运行，如下所示：mov eax, fs:[30h]mov eax, [eax+18h] ;process heapmov eax, [eax+10h] ;heap flagstest eax, eaxjne @DebuggerDetected上面的代码向我们展示了如何通过PEB的偏移量来访问进程的堆及堆标志，通过检查这些内容，我们就能知道Force标志是否已经被当前运行的调试器提前设置为1了。另一种检测调试器的方法是，使用NtQueryInformationProcess这个系统调用。我们可以将ProcessInformationClass设为7来调用该函数，这样会引用ProcessDebugPort，如果该进程正在被调试的话，该函数将返回-1。示例代码如下所示。push 0
push 4
push offset isdebugged
push 7 ;ProcessDebugPort
push -1
call NtQueryInformationProcess
test eax, eax
jne @ExitError
cmp isdebugged, 0
jne @DebuggerDetected在本例中，首先把NtQueryInformationProcess的参数压入堆栈。这些参数介绍如下：第一个是句柄（在本例中是0），第二个是进程信息的长度（在本例中为4字节），接下来是进程信息类别（在本例中是7，表示ProcessDebugPort），下一个是一个变量，用于返回是否存在调试器的信息。如果该值为非零值，那么说明该进程正运行在一个调试器下；否则，说明一切正常。最后一个参数是返回长度。使用这些参数调用NtQueryInformationProcess后的返回值位于isdebugged中。随后测试该返回值是否为0即可。另外，还有其他一些检测调试器的方法，如检查设备列表是否含有调试器的名称，检查是否存在用于调试器的注册表键，以及通过扫描内存以检查其中是否含有调试器的代码等。另一种非常类似于EPO的方法是，通知PE加载器通过PE头部中的线程局部存储器(TLS)表项来引用程序的入口点。这会导致首先执行TLS中的代码，而不是先去读取程序的入口点。因此，TLS在程序启动就可以完成反调试所需检测。从TLS启动时，使得病毒得以能够在调试器启动之前就开始运行，因为一些调试器是在程序的主入口点处切入的。4.探测单步执行恶意软件还能够通过检查单步执行来检测调试器。要想检测单步执行的话，我们可以把一个值放进堆栈指针，然后看看这个值是否还在那里。如果该值在那里，这意味着，代码正在被单步执行。当调试器单步执行一个进程时，当其取得控制时需要把某些指令压入栈，并在执行下一个指令之前将其出栈。所以，如果该值仍然在那里，就意味着其它正在运行的进程已经在使用堆栈。下面的示例代码展示了恶意软件是如何通过堆栈状态来检测单步执行的：Mov bp,sp;选择堆栈指针Push ax ;将ax压入堆栈Pop ax ;从堆栈中选择该值Cmp word ptr [bp -2],ax ;跟堆栈中的值进行比较Jne debug ;如果不同，说明发现了调试器。 如上面的注释所述，一个值被压入堆栈然后又被弹出。如果存在调试器，那么堆栈指针–2位置上的值就会跟刚才弹出堆栈的值有所不同，这时就可以采取适当的行动。5.在运行时中检测速度衰减通过观察程序在运行时是否减速，恶意代码也可以检测出调试器。如果程序在运行时速度显着放缓，那就很可能意味着代码正在单步执行。因此如果两次调用的时间戳相差甚远，那么恶意软件就需要采取相应的行动了。Linux跟踪工具包LTTng/LTTV通过观察减速问题来跟踪病毒。当LTTng/LTTV追踪程序时，它不需要在程序运行时添加断点或者从事任何分析。此外，它还是用了一种无锁的重入机制，这意味着它不会锁定任何Linux内核代码，即使这些内核代码是被跟踪的程序需要使用的部分也是如此，所以它不会导致被跟踪的程序的减速和等待。6.指令预取如果恶意代码篡改了指令序列中的下一条指令并且该新指令被执行了的话，那么说明一个调试器正在运行。这是指令预取所致：如果该新指令被预取，就意味着进程的执行过程中有其他程序的切入。否则，被预取和执行的应该是原来的指令。7.自修改代码恶意软件也可以让其他代码自行修改（自行修改其他代码），这样的一个例子是HDSpoof。这个恶意软件首先启动了一些异常处理例程，然后在运行过程中将其消除。这样一来，如果发生任何故障的话，运行中的进程会抛出一个异常，这时病毒将终止运行。此外，它在运行期间有时还会通过清除或者添加异常处理例程来篡改异常处理例程。在下面是HDSpoof清除全部异常处理例程（默认异常处理例程除外）的代码。exception handlers before:0x77f79bb8 ntdll.dll:executehandler2@20 + 0x003a
0x0041adc9 hdspoof.exe+0x0001adc9
0x77e94809 __except_handler3exception handlers after:0x77e94809 __except_handler30x41b770: 8b44240c mov eax,dword ptr [esp+0xc]
0x41b774: 33c9 xor ecx,ecx
0x41b776: 334804 xor ecx,dword ptr [eax+0x4]
0x41b779: 334808 xor ecx,dword ptr [eax+0x8]
0x41b77c: 33480c xor ecx,dword ptr [eax+0xc]
0x41b77f: 334810 xor ecx,dword ptr [eax+0x10]
0x41b782: 8b642408 mov esp,dword ptr [esp+0x8]
0x41b786: 648f0500000000 pop dword ptr fs:[0x0] 下面是HDSpoof创建一个新的异常处理程序的代码。0x41f52b: add dword ptr [esp],0x9ca0x41f532: push dword ptr [dword ptr fs:[0x0]0x41f539: mov dword ptr fs:[0x0],esp8.覆盖调试程序信息一些恶意软件使用各种技术来覆盖调试信息，这会导致调试器或者病毒本身的功能失常。通过钩住中断INT 1和INT 3（INT 3是调试器使用的操作码0xCC），恶意软件还可能致使调试器丢失其上下文。这对正常运行中的病毒来说毫无妨碍。另一种选择是钩住各种中断，并调用另外的中断来间接运行病毒代码。下面是Tequila 病毒用来钩住INT 1的代码：new_interrupt_one: push bp mov bp,sp cs cmp b[0a],1 ;masm mod. needed je 0506 ;masm mod. needed cmp w[bp+4],09b4 ja 050b ;masm mod. needed push ax push es les ax,[bp+2] cs mov w[09a0],ax ;masm mod. needed cs mov w[09a2],es ;masm mod. needed cs mov b[0a],1 pop es pop ax and w[bp+6],0feff pop bp iret一般情况下，当没有安装调试器的时候，钩子例程被设置为IRET。V2Px使用钩子来解密带有INT 1和INT 3的病毒体。在代码运行期间，会不断地用到INT 1和INT 3向量，有关计算是通过中断向量表来完成的。一些病毒还会清空调试寄存器(DRn的内容。有两种方法达此目的，一是使用系统调用NtGetContextThread和NtSetContextThread。而是引起一个异常，修改线程上下文，然后用新的上下文恢复正常运行，如下所示： push offset handlerpush dword ptr fs:[0]mov fs:[0],espxor eax, eaxdiv eax ;generate exceptionpop fs:[0]add esp, 4;continue execution;...handler:mov ecx, [esp+0Ch] ;skip divadd dword ptr [ecx+0B8h], 2 ;skip divmov dword ptr [ecx+04h], 0 ;clean dr0mov dword ptr [ecx+08h], 0 ;clean dr1mov dword ptr [ecx+0Ch], 0 ;clean dr2mov dword ptr [ecx+10h], 0 ;clean dr3mov dword ptr [ecx+14h], 0 ;clean dr6mov dword ptr [ecx+18h], 0 ;clean dr7xor eax, eaxret上面的第一行代码将处理程序的偏移量压入堆栈，以确保当异常被抛出时它自己的处理程序能取得控制权。之后进行相应设置，包括用自己异或自己的方式将eax设为0，以将控制权传送给该处理程序。div eax 指令会引起异常，因为eax为0，所以AX将被除以零。该处理程序然后跳过除法指令，清空dr0-dr7，同样也把eax置0，表示异常将被处理，然后恢复运行。9.解除调试器线程我们可以通过系统调用NtSetInformationThread从调试器拆卸线程。为此，将ThreadInformationClass设为0x11(ThreadHideFromDebugger)来调用NtSetInformationThread，如果存在调试器的话，这会将程序的线程从调试器拆下来。以下代码就是一个例子：push 0push 0push 11h ;ThreadHideFromDebuggerpush -2call NtSetInformationThread在本例中，首先将NtSetInformationThread的参数压入堆栈，然后调用该函数来把程序的线程从调试器中去掉。这是因为这里的0用于线程的信息长度和线程信息，传递的-2用于线程句柄，传递的11h用于线程信息类别，这里的值表示ThreadHideFromDebugger。10.解密解密可以通过各种防止调试的方式来进行。有的解密依赖于特定的执行路径。如果这个执行路径没被沿用，比如由于在程序中的某个地方启动了一个调试器，那么解密算法使用的值就会出错，因此程序就无法正确进行自身的解密。HDSpoof使用的就是这种技术。一些病毒使用堆栈来解密它们的代码，如果在这种病毒上使用调试器，就会引起解密失败，因为在调试的时候堆栈为INT 1所用。使用这种技术的一个例子是W95/SK病毒，它在堆栈中解密和构建其代码；另一个例子是Cascade病毒，它将堆栈指针寄存器作为一个解密密钥使用。代码如下所示：lea si, Start ; position to decryptmov sp, 0682 ; length of encrypted bodyDecrypt:xor [si], si ; decryption key/counter 1xor [si], sp ; decryption key/counter 2inc si ; increment one counterdec sp ; decrement the otherjnz Decrypt ; loop until all bytes are decryptedStart: ; Virus body对于Cascade病毒如何使用堆栈指针来解密病毒体，上面代码中的注释已经做了很好的说明。相反，Cryptor病毒将其密钥存储在键盘缓冲区中，这些密钥会被调试器破坏。Tequila使用解密器的代码作为解密钥，因此如果解密器被调试器修改后，那么该病毒就无法解密了。下面是Tequila用于解密的代码：perform_encryption_decryption: mov bx,0 mov si,0960 mov cx,0960 mov dl,b[si] xor b[bx],dl inc si inc bx cmp si,09a0 jb 0a61 ;masm mod. needed mov si,0960 loop 0a52 ;masm mod. needed retthe_file_decrypting_routine: push cs pop ds mov bx,4 mov si,0964 mov cx,0960 mov dl,b[si] add b[bx],dl inc si inc bx cmp si,09a4 jb 0a7e ;masm mod. needed mov si,0964 loop 0a6f ;masm mod. needed jmp 0390 ;masm mod. needed人们正在研究可用于将来的新型反调试技术，其中一个项目的课题是关于多处器计算机的，因为当进行调试时，多处理器中的一个会处于闲置状态。这种新技术使用并行处理技术来解密代码。二、逆转录病毒逆转录病毒会设法禁用反病毒软件，比如可以通过携带一列进程名，并杀死正在运行的与表中同名的那些进程。许多逆转录病毒还把进程从启动列表中踢出去，这样该进程就无法在系统引导期间启动了。这种类型的恶意软件还会设法挤占反病毒软件的CPU时间，或者阻止反病毒软件连接到反病毒软件公司的服务器以使其无法更新病毒库。三、混合技术W32.Gobi病毒是一个多态逆转录病毒，它结合了EPO和其他一些反调试技术。该病毒还会在TCP端口666上打开一个后门。Simile（又名Metaphor）是一个非常有名的复合型病毒，它含有大约14,000行汇编代码。这个病毒通过寻找API调用ExitProcess（）来使用EPO，它还是一个多态病毒，因为它使用多态解密技术。它的90%代码都是用于多态解密，该病毒的主体和多态解密器在每次感染新文件时，都会放到一个半随机的地方。Simile的第一个有效载荷只在3月、6月、9月或12月份才会激活。在这些月份的17日变体A和B显示它们的消息。变体C在这些月份的第18日显示它的消息。变体A和B中的第二个有效载荷只有在五月14日激活，而变体C中的第二个有效载荷只在7月14日激活。Ganda是一个使用EPO的逆转录病毒。它检查启动进程列表，并用一个return指令替换每个启动进程的第一个指令。这会使所有防病毒程序变得毫无用处。四、小结本文中，我们介绍了恶意软件用以阻碍对其进行逆向工程的若干反调试技术，同时介绍了逆转录病毒和各种反检测技术的组合。我们应该很好的理解这些技术，只有这样才能够更有效地对恶意软件进行动态检测和分析。

❷ 程序脱壳是什么意思

壳的概念：
所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、com、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用：
1.保护程序不被非法修改和反编译。
2.对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳和压缩软件的压缩的区别是
压缩软件只能够压缩程序
而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行

下面来介绍一个检测壳的软件
PEID v0.92
这个软件可以检测出 450种壳
新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。
支持文件夹批量扫描

我们用PEID对easymail.exe进行扫描
找到壳的类型了
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
说明是UPX的壳
下面进行

步骤2 脱壳
对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。
脱壳成功的标志
脱壳后的文件正常运行，功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳
自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了
手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了

UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到
UPX本身程序就可以通过
UPX 文件名 －d
来解压缩 不过这些需要的 命令符中输入
优点方便快捷 缺点DOS界面
为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外壳软件

UPX SHELL v3.09
UPX 外壳程序！
目的让UPX的脱壳加壳傻瓜化

注：如果程序没有加壳 那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。

脱完后 我们进行

步骤3
运行程序
尝试注册
获取注册相关信息

通过尝试注册 我们发现一个关键的字符串

“序列号输入错误”

步骤4
反汇编

反汇编一般用到的软件 都是 W32Dasm
W32dasm对于新手 易于上手 操作简单
W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版

我们现在反汇编WebEasyMail的程序文件easymail.exe

然后看看能不能找到刚才的字符串

步骤5
通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息

eXeScope v6.50
更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用 VC++ 及 DELPHI 编制的程序的资源，包括菜单、对话框、字符串表等
新版可以直接查看 加壳文件的资源

我们打开eXeScope
找到如下字串符

122,"序列号输入错误 "
123,"恭喜您成为WebEasyMail正式用户中的一员! "
124,注册成功
125,失败

重点是122

步骤6
再次返回 w32dasm

* Possible Reference to String Resource ID=00122: "?鲹e?"

但是双击后
提示说找不到这个字串符
不是没有 是因为 "?鲹e?"是乱码 w32dasm对于中文显示不是太好
毕竟不是国产软件

先把今天会用到的汇编基本指令跟大家解释一下

mov a,b ;把b的值赋给a，使a＝b
call ：调用子程序 ，子程序以ret结为
ret ：返回主程序
je或jz ：若相等则跳转
jne或jnz ：若不相等则跳转
push xx：xx 压栈
pop xx：xx 出栈

栈，就是那些由编译器在需要的时候分配，在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。

我们搜索
Possible Reference to String Resource ID=00122
因为对E文支持很好
我们来到了

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00406F17(C) //跳转来自 406F17
|

* Possible Reference to String Resource ID=00125: "1%"
|
:004070DD 6A7D push 0000007D
:004070DF 8D4C2410 lea ecx, dword ptr [esp+10]
:004070E3 E8F75A1200 call 0052CBDF

* Possible Reference to String Resource ID=00122: "?鲹e?"
|
:004070E8 6A7A push 0000007A
:004070EA 8D4C2408 lea ecx, dword ptr [esp+08]
:004070EE E8EC5A1200 call 0052CBDF

我们来到

:00406F01 8B876C080000 mov eax, dword ptr [edi+0000086C]这里是对
:00406F07 8B4C2408 mov ecx, dword ptr [esp+08]
:00406F0B 50 push eax//这两个eax和ecx入栈就比较让我们怀疑了
:00406F0C 51 push ecx//产生注册码
:00406F0D E8AE381100 call 0051A7C0//这CALL里对注册位应该会有设置
:00406F12 83C40C add esp, 0000000C
:00406F15 85C0 test eax, eax// 检测注册位
:00406F17 0F85C0010000 jne 004070DD //不存在注册位 就会跳到4070DD就会出现那个错误的字串符了

我们记住406F01这个地址

接着进行下一步

步骤7
这一步我们进行的是调试

用到的软件是ollydbg

好了我们找到了 注册码0012AF04 00FD4A10 ASCII ""

但是这个并不是我们的主要目的

我们还要做出属于自己的注册机

相信这个是很多人梦寐以求的事情

步骤8
制作注册机

注册机我们需要的是一个KEYMAKE的软件
因为2.0是演示版而且停止更新了
所以我们用1.73版

做一个内存注册机 需要下面几个资料

中断地址：406F0C
中断次数：1
第一字节：51
指令长度：1

好了 一个完美的注册机 就产生了
还不赶快发给你的朋友 炫耀一下
保证让他迷糊死 佩服得你要死
其实最后还有几个步骤
就是撰写破文
不过大家都是新手 这个步骤 就去了吧

不知不觉说了这么多废话 希望能对大家有些作用
如果有什么不懂 不理解的事情 请联系我 或者到论坛发贴
QQ:9595859
MSN:[email protected]
今天的课程就到这里 大家赶快去动手实践吧～！

--------------------------------------------------------------------------------

-- 作者：admin
-- 发布时间：2005-10-11 11:13:00

-- 实战查壳脱壳制作破解注册机最详细的教程

大家好，我是kcarhc
今天8月1日了 刚从医院回来 正好凌晨
这期的课程做晚了 这里给大家道个歉
8月1日 如果我没记错
是建军节
既然是建军节 也要象征性的弄些东西来
为了建军节 这期我选择打击黑暗势力－－黑社会

那么今天的主题就是
－－－－－－－－－－－
迎接建军节，铲除黑社会
－－－－－－－－－－－
首先介绍软件

黑社会2.0
[功能简介]:
1 五大必备功能
远程屏幕; 完全控制; 文件传送; Telnet; 远程关机
2 提供IP反弹定位功能
可以通过静态IP动态域名,网页文件的方式反弹通知IP.
3 集成vidc客户端
内网的朋友想用自动上线功能,可以实现了
4 本软件集成了常用攻击工具(如OpenTelnet OpenTftp等)
通过IPC拷贝,而且带有标准的拷贝进度,全球首次面世;
opentelnet就不介绍了,相信大家都知道;
opentftp为本软件独创,可以远程开启tftp服务;
5 本软件集成的极速端口扫描器(扫描速度世界领先)
最开始我用的扫描器是大名鼎鼎的SuperScan3.0,感觉速度很慢;
后来改用SSPort1.0 扫描速度有了明显的提高.
经过速度对比,本软件扫描速度比SSPort快 1/3 ,是SuperScan的N倍!!!
我的机器是 赛扬700+256M内存,一般扫描速度为180台/秒;
一些号称可以达到1000台/秒的扫描器在本机上试验只有120台/秒.
－－－－－－－－－－－－－－－－－－－－
准备工作：

安装黑社会
－－－－－－－－－－－－－－－－－－－－
步骤一 查壳

Peid v0.92
ASPack 2.12 -> Alexey Solodovnikov、
－－－－－－－－－－－－－－－－－－－－
步骤二 脱壳

手动脱壳

快速脱掉ASPACK所有版本的方法

的OEP关键点在下面

0048D3AF 61 POPAD
0048D3B0 75 08 JNZ SHORT 黑社会.0048D3BA
0048D3B2 B8 01000000 MOV EAX,1
0048D3B7 C2 0C00 RETN 0C//402c4a
0048D3BA 68 00000000 PUSH 0

402ca4就是我们要找的OEP

自动脱壳

AspackDie v1.41

这是一个小小的 PE 文件解压缩器 (EXE, DLL, ...) 她可以解压缩
自 Aspack 2000 以后的任何 Aspack 版本. 包括:

- Aspack 2000
- Aspack 2001
- Aspack 2.1
- Aspack 2.11
- Aspack 2.11c/d
- Aspack 2.12
- Aspack 2.12a/b
- 一些未知的版本

－－－－－－－－－－－－－－－－－－－
步骤三 试运行程序 发现突破点

看到关键字符串
“注册码错误!”
－－－－－－－－－－－－－－－－－－－
步骤四 W32DASM 寻找突破点

用w32dasm载入已经脱壳的程序
字符串察看
未发现 字符串 而是发现一堆乱码
大家于是一定想到了第一节的办法

用EXESCOPE
－－－－－－－－－－－－－－－－－－－
步骤四 察找 字符串

打开eXeScope 并载入 但是发现 都没有字符串
这项
为啥呢？大家一定会疑问
一般用eXeScope查不到
我们将开始
－－－－－－－－－－－－－－－－－－－
步骤五 查询软件的编译类型

Peid v0.92
Microsoft Visual Basic 5.0 / 6.0
－－－－－－－－－－－－－－－－－－－－
步骤六 采用GetVBRes v0.51 对付VB程序

GetVBRes v0.51 一个非常好的VB汉化工具

对于VB程序 我们用专门汉化用的GetVBRes v0.51来对付它
也许有人不理解 为啥用汉化工具呢
其实eXeScope也属于汉化工具
GetVBRes载入黑社会
发现没有乱码了
看到的全是完整的字符
我们找到了
注册码错误!
这个字符串
接着为了能搞到程序关键点地址
我们把“注册码错误!”
改成111111
为啥改成111111因为111111111
保存修改
－－－－－－－－－－－－－－－－－－－－－
步骤六 用W32Dasm载入修改后的文件
发现字符串中有111111
那个就是我们修改的 原来是“注册码错误!”

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004792EF(C)
|
:00479474 B904000280 mov ecx, 80020004
:00479479 B80A000000 mov eax, 0000000A
:0047947E 894D9C mov dword ptr [ebp-64], ecx
:00479481 894DAC mov dword ptr [ebp-54], ecx
:00479484 894DBC mov dword ptr [ebp-44], ecx
:00479487 8D5584 lea edx, dword ptr [ebp-7C]
:0047948A 8D4DC4 lea ecx, dword ptr [ebp-3C]
:0047948D 894594 mov dword ptr [ebp-6C], eax
:00479490 8945A4 mov dword ptr [ebp-5C], eax
:00479493 8945B4 mov dword ptr [ebp-4C], eax

* Possible StringData Ref from Code Obj ->"1111111" //刚才我们看到的注册吗错误的哦
|
:00479496 C7458C98194100 mov [ebp-74], 00411998
:0047949D C7458408000000 mov [ebp-7C], 00000008

发现跳转来自到4792EF
安照习惯 我们来到4792EF后 接着向前看
看到一个跳到这里的那个地址
这里是40928C

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00479278(C)
|
:0047928C 8B55E4 mov edx, dword ptr [ebp-1C]

* Reference T MSVBVM60.__vbaStrMove, Ord:0000h
|
:0047928F 8B3578124000 mov esi, dword ptr [00401278]
:00479295 8D4DE0 lea ecx, dword ptr [ebp-20]
:00479298 895DE4 mov dword ptr [ebp-1C], ebx
:0047929B FFD6 call esi
:0047929D 8B4DE8 mov ecx, dword ptr [ebp-18]
:004792A0 6A01 push 00000001
:004792A2 8D55E0 lea edx, dword ptr [ebp-20]
:004792A5 51 push ecx
:004792A6 52 push edx
:004792A7 E8440F0000 call 0047A1F0
:004792AC 8BD0 mov edx, eax
:004792AE 8D4DDC lea ecx, dword ptr [ebp-24]
:004792B1 FFD6 call esi
:004792B3 50 push eax
:004792B4 53 push ebx

* Reference T MSVBVM60.__vbaInStr, Ord:0000h
|
:004792B5 FF15E8114000 Call dword ptr [004011E8]
:004792BB 8BF0 mov esi, eax
:004792BD 8D45E8 lea eax, dword ptr [ebp-18]
:004792C0 F7DE neg esi
:004792C2 8D4DDC lea ecx, dword ptr [ebp-24]
:004792C5 50 push eax
:004792C6 1BF6 sbb esi, esi
:004792C8 8D55E0 lea edx, dword ptr [ebp-20]
:004792CB 51 push ecx
:004792CC 52 push edx
:004792CD F7DE neg esi
:004792CF 6A03 push 00000003
:004792D1 F7DE neg esi

* Reference T MSVBVM60.__vbaFreeStrList, Ord:0000h
|
:004792D3 FF150C124000 Call dword ptr [0040120C]
:004792D9 8D45D4 lea eax, dword ptr [ebp-2C]
:004792DC 8D4DD8 lea ecx, dword ptr [ebp-28]
:004792DF 50 push eax
:004792E0 51 push ecx
:004792E1 6A02 push 00000002

* Reference T MSVBVM60.__vbaFreeObjList, Ord:0000h
|
:004792E3 FF1548104000 Call dword ptr [00401048]
:004792E9 83C41C add esp, 0000001C
:004792EC 663BF3 cmp si, bx
:004792EF 0F847F010000 je 00479474

我们在
004792AC看到下面这些
EAX=0015A47C, (UNICODE "")
EDX=00000000

怀疑EAX为的

为注册码
－－－－－－－－－－－－－－－－－－
步骤七 用不确定正确的注册 尝试注册

用

这个注册后
我们发现 注册成功
－－－－－－－－－－－－－－－－－－
步骤八 制做注册机

Keymake v1.73

中断地址：4792AC
中断次数：1
第一字节：8B
指令长度：2
－－－－－－－－－－－－－－－－－－
步骤九 发布注册机

找一个网站比如黑基或者你的朋友之间
－－－－－－－－－－－－－－－－－－
步骤十 休息

黑社会终于干掉了
现在去找你的男朋友或者女朋友
老公或者老婆
找个地方聊聊天 放松放松
告诉他们 你刚刚把黑社会 摆平了
一定很有趣的
－－－－－－－－－－－－－－－－－－
课程结束
－－－－－－－－－－－－－－－－－－
有事情大家可以去论坛
不过你如果性子急
或者嫌我回复的速度慢
我建议你直接联系我
只要我在 基本可以马上给你解答
不在可以留言
我的两个联系方式
QQ:9595859
MSN:[email protected]
最后 说一个事
我的女朋友最近生病了
所以才导致这期的课程 这么晚才做出来
希望大家能理解我
我还希望大家能祝福她早日康复
不然的话
你们见到我的日子可能会少了
甚至可能会消失在你们眼前
好了不说了 今天就是到此OVER吧
---------- kcarhc
2004年8月1日 凌晨 沈阳

--------------------------------------------------------------------------------

-- 作者：admin
-- 发布时间：2005-10-11 16:42:00

-- 使用OllyDbg快速脱壳

作者：KU-凌
目标：采用ASPACK、UPX加壳的NOTEPAD.EXE
工具：OllyDbg 1.09英文版、DUMP插件、PEditor
系统：Win98SE
关键词： 脱壳、OllyDbg、OD、DUMP、PUSHAD、POPAD

预备知识
大多数壳都有一个共同的特点。在壳准备开始解压时都要执行PUSHAD，当壳解压
完时都要调用POPAD。到底PUSHAD和POPAD是什么干什么用的呢？其实PUSHAD是用来将
所有普通寄存器顺序进栈的指令，POPAD是所有普通寄存器顺序出栈指令。POPAD的出
栈顺序和PUSHAD相反。壳为了保护寄存器，便在解压前将所有寄存器进栈保护起来，
当解压完成后又将寄存器出栈，恢复其原貌，并将IP设置为原程序的OEP。这样我们就可以通过这个特点快速脱掉多种软件的壳。

ASPACK篇
先用ASPACK将NOTEPAD.EXE加壳。用OllyDbg（以下简称OD）载入。看见光标停在
壳的入口处。
0040D001 >60PUSHAD ;壳的入口。准备开始解压，保护寄存器
0040D002E8 03000000CALLNOTEPAD.0040D00A
……
我们不管它，直接向下翻页找POPAD指令。在40D3AF处找到POPAD
……
0040D3AF61POPAD ;解压完成，恢复寄存器
0040D3B075 08JNZSHORT NOTEPAD.0040D3BA
0040D3B2B8 01000000MOVEAX, 1
0040D3B7C2 0C00RETN0C
0040D3BA68 CC104000PUSHNOTEPAD.004010CC ;返回到原程序OEP处
0040D3BFC3RETN
……
选定40D3AF这一行，F4运行到此处。在这里说明壳已经完成解压工作。并且返回到原
程序的入口处。F8单步到4010CC，这里便是原程序的OEP。用DUMP插件直接DUMP出来就可以了（在DUMP时注意将入口点改为10CC，即4010CC-400000=10CC，400000是映象基地址）。文件大小是77059字节，用PEditor重建PE头便可以了。未压缩的文件大小是53248字节，脱壳后的文件大小是60930字节。

UPX篇
用UPX将NOTEPAD.EXE加壳，然后用OD载入。停在PUSHAD处，用脱ASPACK同样的方
法，向下翻页找POPAD。
……
0040E9FE61POPAD
0040E9FF- E9 C826FFFFJMPNOTEPAD.004010CC
……
下面的JMP就是跳转到程序的OEP处。F4到40E9FF处，F8单步一下，来到OEP处，DUMP出来。DUMP文件的大小是65536字节，直接就可以运行。为了完美，用PEditor重建PE头。那么脱壳后的文件大小是60293字节。

后记
用上面说的方法，很多种壳都可以快速的手动脱掉。如果你没有OD的DUMP插件，
可以到新论坛的下载区找。如果实在没有，也可以直接停在OEP处用PEDump来DUMP。很久没有写东西了。这一篇是写给初学者练手的。其实壳也是软件，再怎么复杂都有可能被脱下来。祝你好运。
另外，转载时请保持本文的完整。

--------------------------------------------------------------------------------

-- 作者：admin
-- 发布时间：2005-10-11 17:10:00

-- 用Ollydbg手脱EncryptPE V1.2003.5.18加壳的DLL

有兄弟让看看EncryptPE加壳的DLL，我说新版的就不行了，搞不定的。后来看是EncryptPE V1.2003.5.18旧版加壳的，应该用的是老王老师发布的免费版。呵呵，所以脱了一下，顺便记录过程。
大家可以自己用EncryptPE V1.2003.5.18免费版加个EdrLib.dll看看。

—————————————————————————————————
一、避开IAT加密

设置Ollydbg忽略所有的异常选项。用IsDebug 1.4插件去掉Ollydbg的调试器标志。
添加“同时忽略0EEDFADE、C0000008、009B25C、00953D74”异常。

代码:--------------------------------------------------------------------------------
00877000 60 pushad//进入OD后停在这
00877001 9C pushfd
00877002 64:FF35 00000000 push dword ptr fs:[0]
00877009 E8 79010000 call EdrLib.00877187
--------------------------------------------------------------------------------

下断：BP IsDebuggerPresent 断下后取消断点
现在我们Ctrl+G:711A0000
为何用这个地址？因为V12003518.EPE是相同的。呵呵，钻了个旧版的空子。

其实可以再BP GetProcAddress，根据返回地址来判断。如果返回地址是711XXXXX，说明这是V12003518.EPE的调用，就可以取消断点Ctrl+F9返回了。具体情况以堆栈的返回地址为准。

现在Ctrl+S 在“整个区段”搜索命令序列：

代码:--------------------------------------------------------------------------------
mov eax,edi
mov edx,dword ptr ss:[ebp-8]
mov dword ptr ds:[eax],edx
xor eax,eax
--------------------------------------------------------------------------------

找到在711A339F处，我们在711A339F处下个 硬件执行 断点。
现在我们关闭Ollydbg，重新载入这个dll，直接Shift+F9运行，中断在711A339F处

代码:--------------------------------------------------------------------------------
711A339F 8BC7 mov eax,edi
711A33A1 8B55 F8 mov edx,dword ptr ss:[ebp-8]
//改为： mov edx,dword ptr ss:[ebp-4] ★ 正确函数写入
711A33A4 8910 mov dword ptr ds:[eax],edx
711A33A6 33C0 xor eax,eax
711A33A8 5A pop edx
711A33A9 59 pop ecx
711A33AA 59 pop ecx
711A33AB 64:8910 mov dword ptr fs:[eax],edx
711A33AE EB 0A jmp short V1200351.711A33BA
--------------------------------------------------------------------------------

把711A33A1处修改好之后，取消以前下的711A339F处的断点。
再Ctrl+S搜索命令序列：

代码:--------------------------------------------------------------------------------
add ebx,4
mov eax,dword ptr ss:[ebp-4C]
add eax,4
--------------------------------------------------------------------------------

找到在711A43C2处，我们在下面xor eax,eax的711A4401下断。Shift+F9运行

代码:--------------------------------------------------------------------------------
711A43C2 83C3 04 add ebx,4
711A43C5 8B45 B4 mov eax,dword ptr ss:[ebp-4C]
711A43C8 83C0 04 add eax,4
711A43CB 8945 B4 mov dword ptr ss:[ebp-4C],eax
711A43CE 8B03 mov eax,dword ptr ds:[ebx]
711A43D0 85C0 test eax,eax
711A43D2 0F87 39FDFFFF ja V1200351.711A4111
711A43D8 A1 74C71B71 mov eax,dword ptr ds:[711BC774]
711A43DD 8038 00 cmp byte ptr ds:[eax],0
711A43E0 75 1F jnz short V1200351.711A4401
711A43E2 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43E5 83C0 14 add eax,14
711A43E8 8945 C4 mov dword ptr ss:[ebp-3C],eax
711A43EB 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43EE 8378 0C 00 cmp dword ptr ds:[eax+C],0
711A43F2 76 0D jbe short V1200351.711A4401
711A43F4 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43F7 8378 10 00 cmp dword ptr ds:[eax+10],0
711A43FB 0F87 38FCFFFF ja V1200351.711A4039//循环处理IAT
711A4401 33C0 xor eax,eax//此处下断！ ★
--------------------------------------------------------------------------------

当我们中断在711A4401处时IAT已经处理完毕，此时就可以用ImportREC得到正确的输入表了。
因为EncryptPE后面有自校验，所以我们返回711A33A1处，点右键－>撤销选择，恢复原来的代码。

—————————————————————————————————
二、得到重定位表信息、获得OEP

Ctrl+S 在“整个区段”搜索命令序列：