一个简单的加密壳笔记
基本思路
- 提示框,点击 “是” 后壳开始解压程序代码
- 有一个call来还原这个原程序的IAT表,而这个壳也是只加密了他的IAT
- 进入这个call后,找到GetProcessAddress函数,这个函数的返回值保存在eax里面,这个eax才是我们需要的地址,但是这个壳是把他xor加密后,存到一个virtualalloc的地址里面,然后再在这里面进行xor解密回来 。
判断一个壳是否脱完,要检查导入表是否是恢复完全的。
脱壳脚本代码
// 初始化变量
// 临时变量,用来保存API地址
MOV dwEAX,0
// 当EIP执行到这个地址的时候API放在EAX中
MOV dwGetProcAddr,0049d5bf
// 当EIP执行到这个地址的时候IAT刚刚被填充为申请的那段内存地址
// 其地址中保存的是加密后的API地址,以及动态解密代码
MOV dwWriteIATAddr,0049d5f0
MOV dwOEPAddr,0044848d // IEP执行到OEP就可以dump了
// 清除所有软件断点
BC
// 清除所有硬件断点
BPHWCALL
// 设置硬件执行断点
BPHWS dwGetProcAddr,"x"
BPHWS dwWriteIATAddr,"x"
BPHWS dwOEPAddr,"x"
LOOP1:
RUN
CASE1:
CMP eip,dwGetProcAddr
JNE CASE2
MOV dwEAX,eax
JMP LOOP1
CASE2:
CMP eip,dwWriteIATAddr
JNE CASE3
MOV [edi],dwEAX
JMP LOOP1
CASE3:
CMP eip,dwOEPAddr
JNE LOOP1
MSG "到达OEP,可以dump了!!!"
脱壳视频和样本
链接:https://pan.baidu.com/s/1wkwLIm_plmru5Ao6kzvzwA 密码:usua