本文介绍了一款勒索软件的手动脱壳过程及后续的静态分析方法,包括使用OD进行脱壳、去除花指令干扰、静态分析及密钥获取等步骤。
Ransomware
0x01 查壳
run.exe拖入exeinfo发现UPX壳
0x02 手动脱壳(大家有什么好的脱壳器求分享!)
载入程序
F8单步执行,当右侧寄存器窗口中esp寄存器第一次变化时停下(就是下一句了)
右键点击esp,选择数据窗口跟随
在左下角数据窗口中,右键点击0019FF64这个地址,选择 断点->硬件访问->Word
执行程序(F9),程序将在断点处停下
注意最后一个无条件跳转 的地址,从00ecee83直接跳转到004aac9b,大跳转一般情况下意味着OEP的出现,单步执行到实现跳转(中间需要通过F4调过一个循环,不再赘述)
跳转实现后出现了这些代码,判断已经到达OEP
(判断是否到达OEP请参考脱壳新手必读——各个OEP位置)
右键使用OD插件实现脱壳(右键->OD脱壳调试进程->脱壳)
(ESP定律脱壳的原理实际上是运用了堆栈平衡的理论,具体可参考ESP定律原理)
0x03 静态分析
尝试将脱壳后的程序拖入IDA进行静态分析,发现_main函数的地方出现了很多没啥卵用的代码
程序使用这种形式的花指令来干扰我们分析,为了使用IDA进行静态分析,必须想办法把这一大段花指令干掉
0x04 去除花指令
参考别人的wp结合自己的做法,去除花指令总结出三种做法
1、手动nop
在OD中把所有的花指令都找出来,手动nop填充(代码量比较大完成这一步需要点时间)
2、OD插件DeJunk
使用OD自带的花指令去除插件Dejunk
点击E(Edit),弹出记事本
在PatList任意一项中多添加一个标号,并在该标号的位置填入你的替换代码
S为原指令的操作码
D为目标指令的操作码
这里将那一堆Push/Pop指令全都用nop填充
由于花指令是从古0x00401000开始,所以就从这儿开始运行dejunk,我没有数需要填充多少,干脆将去除字节设置为最大99999
填充之后保存到run_dump,拖入IDA就可以进行静态分析
3、自己写脚本
使用Python脚本剔除花指令(注意环境是Python2)
data = open('run_dump1.exe','rb').read()
data = data.replace('\x60\x61\x90\x50\x58\x53\x5b','\x90\x90\x90\x90\x90\x90\x90')
open('run_dejunk.exe','wb').write(data)0x04 继续静态分析
将去除花指令的程序拖入IDA中就可以F5静态分析
加密关键代码:
但是没秘钥啊就很捉急
看大神们的WP提示这里file是exe类型,用到了PE文件结构中“This program cannot be run in DOS mode”这句话
就是在PE文件中一定会有这句话,而且一定会在固定的位置上
这样我们就有了 原数据(上面那句话的hex形式)和加密后文数据(file中相应位置上的hex数据),根据加密算法可以反推出key来
脚本
enc='C7F2E2FFAFE3ECE9FBE5FBE1ACF0FBE5E2E0E7BEE4F9B7E8F9E2B3F3E5ACCBDCCDA6F1F8FEE9'.decode(hex)
dec='This program cannot be run in DOS mode'
enc=list(enc)
dec=list(dec)
key=''
for i in range(len(enc)):
enc[i] = (~ord(enc[i]))&255
key += chr(ord(dec[i])^enc[i])
print (key)解出key为letsplaychess
在run.exe中输入letsplaychess,待程序执行完毕后,将file文件加后缀名exe,运行得到flag
wp参考:wp
扫一扫
2876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
