[原创]某网友的壳的修复-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]某网友的壳的修复

发表于: 2010-1-15 02:29 4421

[原创]某网友的壳的修复

爱鸟

2010-1-15 02:29

4421

【文章标题】: 手脱WuWei壳
【文章作者】: lovebird/爱鸟
【作者邮箱】: lovebird_ustc#126.com
【作者QQ号】: 1282260064
【软件名称】: 加壳的Unpacktest
【软件大小】: 加壳前20KB 加壳后84KB 脱壳后84KB
【下载地址】: 附件中
【加壳方式】: Wuwei壳
【保护方式】: Wuwei壳加壳的Unpacktest
【编写语言】: MFC
【使用工具】: LordPE
【操作平台】: WinXpSp3+Vmware6
【软件介绍】: 在看雪上看到的一个网友加壳程序
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  [WuWeiPack -> Wuwei *+++++++++++* 20100115]
  signature = 60 83 C4 20 8B 1C 24 83 EC 20 81 E3 00 F0 FF FF 81 FB 00 00 00 7C
  ep_only = false

  晚上上看雪看到http://bbs.pediy.com/showthread.php?t=105184上一位网友写的加壳程序过来加个壳。
  加壳后生成  原文件名_wu.exe  的加壳文件修复过程比较奇特，写下来全当备忘录。
  OD载入，忽略一切异常：
  004057B7 > $  60          PUSHAD
  004057B8 .  83C4 20    ADD ESP,20                            ;  F8到这里然后hr esp
  004057BB .  8B1C24       MOV EBX,DWORD PTR SS:[ESP]
  004057BE .  83EC 20    SUB ESP,20
  004057C1 .  81E3 00F0FFFF AND EBX,FFFFF000
  004057C7 >  81FB 0000007C CMP EBX,7C000000
  004057CD .  74 1F       JE SHORT testwuwe.004057EE
  004057CF .  66:813B 4D5A  CMP WORD PTR DS:[EBX],5A4D
  004057D4 .  75 10       JNZ SHORT testwuwe.004057E6
  004057D6 .  8BF3       MOV ESI,EBX
  004057D8 .  83C3 3C    ADD EBX,3C
  004057DB .  0333       ADD ESI,DWORD PTR DS:[EBX]
  004057DD .  66:813E 5045  CMP WORD PTR DS:[ESI],4550
  004057E2 .  75 02       JNZ SHORT testwuwe.004057E6
  004057E4 .  EB 08       JMP SHORT testwuwe.004057EE
  004057E6 >  81EB 00100000 SUB EBX,1000
  004057EC .^ EB D9       JMP SHORT testwuwe.004057C7
  004057EE >  83EB 3C    SUB EBX,3C
  004057F1 .  E8 00000000 CALL testwuwe.004057F6
  004057F6 $  5E          POP ESI
  直接F8手跟也行，过程中会遇到如下的语句：
  004057F1 .  E8 00000000 CALL testwuwe.004057F6
  004057F6 $  5E          POP ESI
  类似重定位的语句。
  不管它，在004057B8处hr esp，然后直接Shift+F9
  00405A5C .  E8 00000000 CALL testwuwe.00405A61
  00405A61 $  5B          POP EBX
  00405A62 .  81EB DF124000 SUB EBX,testwuwe.004012DF
  00405A68 .  81C3 19104000 ADD EBX,testwuwe.00401019
  00405A6E .  8B1B       MOV EBX,DWORD PTR DS:[EBX]
  00405A70 .  FFE3       JMP EBX
  00405A72    00          DB 00
  00405A73    00          DB 00
  00405A74    00          DB 00
  00405A75    00          DB 00
  00405A76    00          DB 00
  00405A77    00          DB 00
  其中00405A70的语句就是跳到OEP的语句,OEP后可以dump。如果使用OD的dump插件的话，推荐方式1，
  也可用LordPe来dump(直接选择修复映像就好)。不管怎么说我们是dump出来了。
  双击之后，发现不是有效的Win32程序。运行IREC修复和PE的重建pe功能搭配几个选项均无果。
  似乎这样一个壳要困住我的前进脚步。
  运行LordPE，分析文件，发现脱壳后文件仍然带着.wuwei区段，尝试删除后保存。此时可以运行。





--------------------------------------------------------------------------------
【经验总结】
  esp定律可以秒脱修复之前应该先删除.wuwei区段否则修复不成功

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2010年01月15日 2:28:27

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

testwuwei_wu.rar （3.64kb，8次下载）

收藏・0

免费・0

支持

最新回复 (1)
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 2 楼文章很规范啊，可惜壳强度不行。。。 2010-1-15 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

爱鸟

发帖

318

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 2 楼文章很规范啊，可惜壳强度不行。。。 2010-1-15 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复