forgot/hexer变形telock

最新推荐文章于 2014-02-18 17:16:13 发布

bmd2chen

最新推荐文章于 2014-02-18 17:16:13 发布

阅读量1.6k

点赞数

CC 4.0 BY-SA版权

分类专栏：逆向工程文章标签： access byte 脚本 c 公告 email

本文链接：https://blog.youkuaiyun.com/bmd2chen/article/details/346506

逆向工程专栏收录该内容

39 篇文章

订阅专栏

【目标】: forgot/hexer做的变形telock

【工具】:Olydbg1.1

【任务】:当然是要脱光它的衣服了:D

【操作平台】:WINXP pro sp1

【作者】:loveboom[DFCG][FCG]

【相关链接】: 附件就是了

【简要说明】:呵呵，前几天看看forgot在做"某护肤产品的公告",所以就进去看看，不看可能还没事，一看我的机子就重启了N次，晕呀!

【详细过程】:

既然搞得我的机子重启这么多次不脱他个光光就太对不起我电脑吧，打开OD设置一下:

忽略异常里除了'Invalid or privileged instruction'和最下面的一个，其它的全钩上，不用隐身你的OD的，因为壳里"忘记?"了

还好forgot这次没有清DRX要不，可能就更难了。

先在peid的userdb里加上标志先，这样下次见到好有个照应.

在userdb里加上:

[TElock v0.98b1<->Modifly by forgot/hexer]

signature = 9C 6A 03 73 0B EB 02 75 75

ep_only=false

这样以后和forgot又亲了一点:)

用OD载入后停在入口:

00462862 >^/E9 99D7FFFF JMP d1.00460000 ;ep

00462867 0000 ADD BYTE PTR DS:[EAX],AL

按F9出现异常了:

004607E5 8DC0 LEA EAX,EAX ; 这里异常了

004607E7 74 03 JE SHORT d1.004607EC

异常后我们下断bp GetModuleHandleA,呵呵，他这时还没有检查这里有没有CC呢.下断-->shift+f9断下:

77E5AD86 > 837C24 04 00 CMP DWORD PTR SS:[ESP+4],0 ;断在这里

77E5AD8B 0F84 37010000 JE kernel32.77E5AEC8

断下来了就先"还东西"(取消断点),再按alt+f9执行到用户代码:

00460E97 0BC0 OR EAX,EAX ; 回到程序了地盘咯

00460E99 75 07 JNZ SHORT d1.00460EA2

回到用户代码后，按CTRL+B找85FF74也就是找:

004617E4 85FF TEST EDI,EDI ;找的就是这里

004617E6 74 0F JE SHORT d1.004617F7

在4617E4处下he 4617E4(硬件访问断点),下断完毕f9运行一下又异常了.

77E53887 5E POP ESI

77E53888 C9 LEAVE

在77E53887处会异常三次，第四次到就了我们刚才下硬件断点的地方:

004617E4 85FF TEST EDI,EDI ; ntdll.ZwSetInformationThread

004617E6 74 0F JE SHORT d1.004617F7

004617E8 FF95 191F4000 CALL DWORD PTR SS:[EBP+401F19]

呵呵，看到了吧，壳想搞破坏了，这里我们就把edi给填0，这样的话，不用再担心有效验。

同样，还东西后，走下一步，再次按ctrl+B查找61C685:

00461EF7 61 POPAD

00461EF8 C685 E1314000 0>MOV BYTE PTR SS:[EBP+4031E1],0

00461EFF 74 24 JE SHORT d1.00461F25 ;这就是我们要找的，这里一改就会有全部的IAT

把00461EFF改成EB24也就是jmp 00461F25,改完后接f9又出现一次异常，这时先不要急着按shift+f9再按程序就跑了.

00462336 8DC0 LEA EAX,EAX ; 异常在这里

00462338 EB 01 JMP SHORT d1.0046233B

异常后有两种方法可以很快到程序的OEP的.

第一种 ESP的方法:

异常后下断hr 12ffa4,这样中断在这里:

004623B0 874424 FC XCHG DWORD PTR SS:[ESP-4],EAX ; 这里断下

004623B4 83EC 04 SUB ESP,4

断后取消断点按ctrl+f9执行到返回，然后按一次f8到了入口:

00462422 5F POP EDI

00462423 C3 RETN

......

0044CA98 55 PUSH EBP ; OEP!

0044CA99 8BEC MOV EBP,ESP

0044CA9B 83C4 F0 ADD ESP,-10

第二种段断点:

打开内存页,在下面的段上按f2:

Memory map, item 18

Address=00401000

Size=0004C000 (311296.)

Owner=d1 00400000

Section=.BJFnt

Contains=code

Type=Imag 01001004

Access=RW

Initial access=RWE

然后shift+f9就到入口了:

0044CA98 55 PUSH EBP ; OEP!

0044CA99 8BEC MOV EBP,ESP

到了这里就dump+fixdump我就不再多说了，介于这个壳对我的电脑打击过于"利害",所以决定来个"脱壳机器人".哈哈!

code:

msgyn "设置:按ALT+O打开异常项，除倒数第一和第三项外，其它全部打钩,这个脚本只对forgot/hexer的修改版telock有用,要继续吗?"

cmp $RESULT,0

je lblret

var addr

var cbase

var csize

gmi eip,CODEBASE

mov cbase,$RESULT

gmi eip,CODESIZE

mov csize,$RESULT

start:

run

lbl1:

gpa "GetModuleHandleA","kernel32.dll"

bp $RESULT

esto

lbl2:

bc $RESULT

rtu

find eip,#85FF74??FF95#

cmp $RESULT,0

je lblabort

mov addr,$RESULT

bphws addr,"x"

lbl3:

eob lbl4

run

esto

lbl4:

bphwc addr

mov edi,0

find eip,#61C685#

cmp $RESULT,0

je lblabort

mov addr,$RESULT

add addr,8

mov [addr],#EB#

lbl5:

run

lbl6:

bprm cbase,csize

esto

end:

bpmc

cmt eip,"OEP!"

msg "Script by loveboom[DFCG][FCG],Thank you for using my script!"

lblret:

ret

lblabort:

msg "出错，脚本将会结束，可能目标程序不是forgot/hexer的变形telock加的壳:(!"

ret

Greetz:

Fly,Jingulong,yock,tDasm,David,ahao,vcasm,UFO(brother),alan(sister),all of my friends and you!

By loveboom[DFCG][FCG]

Email:bmd2chen@tom.com