SProtect 最全脱壳教程 原理剖析.pdf

《SProtect 最全脱壳教程 原理剖析.pdf》由会员分享，可在线阅读，更多相关《SProtect 最全脱壳教程 原理剖析.pdf（25页珍藏版）》请在三一办公上搜索。

1、SProtect 最全脱壳教程+原理剖析 废话不多说，上步骤！1、什么强度？别问，问就是全保护！2、加壳：超级模式 3、导入表：超级模式 4、内存校验：虚拟模式 5、.文章内容：1.IAT扫描与修复 2.antidump处理 3.IAT导入表修复 4.写补丁进行修复antidump IAT扫描之出入01之牛头马面之自动运算扫描大法：超级模式的IAT保护强了点，但是没啥用，加密类型大致分为如下几种模式 1、Call 到IAT解密 2、JMP 到 IAT解密 3、CALL 到IAT解密 然后 Jmp进入虚拟机 通过以上的特征进行扫描，扫描大概的原理：1、指定代码段开始与结束(.text)，一般代码

2、段的开始地址是0 x00401000 2、扫描代码段和代码段结束的所有call和jmp，并且都是IMM类型 3、判断call和jmp的imm是否处于svmp1区段，如果是svmp1区段，则可能是antidump或iat下面通过扫描得出结果：1.2.修复原理：0 首先扫描出来的call和jmp要排除antidump 1 遍历进程所有的模块，取出导出表的各个函数地址，并且记录 2 跟踪每一个call和jmp，一直到跟踪到ret 3 判断栈顶esp的值是否处于系统库的导出表函数头部 4 如果栈顶esp的值处于某个系统库的导出函数头部，那么esp的值就是api地址，这里记录一下api地址（这里还有一种

3、方式可以确定，就是如果esp的地址不处于主模块的区间，则就是第系统库或第三方库API地址）5 如果确定了esp的值就是api，那么esp+4的地址如果处于代码段区间就是CALL IAT，如果esp+4的地址如果不处于代码段区间，则是JMP IAT类型 6 如果esp的地址处于主模块的区间，那么可能就是MOV R32,IAT类型 区分IAT加密的方式分为push call和call retn方式：invoke_code_address是扫描出来的调用IAT的地址此时如果esp+4-invoke_code_address=5,那么就是push call模式，此时iat的开始修复地址就要减1如果es

4、p+4-invoke_code_address!=5，那么就是call_retn模式，此时地址，此时iat的开始修复地址就要不需减1 引用上述第6点，如果esp的地址处于主模块的区间，那么可能就是MOV R32,IAT类型，那么这里需要再次判断esp的地址是否处于代码段区间，如果处于代码段区间那么确定就是MOV R32,IAT类型 如果确定是MOV R32.IAT类型，则判断api地址 IAT调用的地址如果结果是5 且 mov r32,iat的r32不等于eax，那么就是push call模式，否则就是none模式none模式就是原mov eax,iat的模式，因为mov eax,dword

5、ptr ds:iat正好够5个字节，所以在修复的地址不需要减1 如果结果不等于5，则是call retn模式通过上面的+1或-1以及各种识别操作，可以扫描到IAT如下：if(.|esp4=g_svmp1_start&esp4 g_svmp1_end)/这个的意思就是，有些IAT在虚拟的情况下调用完成了系统库API，然后返回的不是代码段地址，而是svmp1的地址，所以这里再加个判断！通过上述的方式搜索到iat的数据之后，就可以开始修复了，因为antidump会检测IAT的调用处，所以不能直接完整的修复。所以中转API跳转的地址可以在call IAT解密的地方或 JMP IAT(VMEnter)的

6、虚拟机入口进行hook，然后直接扩展最后一个区段，把调用的IAT的指令修复到扩展的区段，流程如下：Hook IAT解密的地方中转到修复的IAT调用处：HOOK IAT的虚拟机入口：因为有些调用IAT需要平栈，所以修复方式根据IAT是否被虚拟化，IAT是call还是jmp还是mov，类型是否是push call 或 call retn进行修复：代码如下（懂的都懂）：修复完成之后大概如下：全自动模拟玛雅轮转算法处理antidump 这里解析一个常用的antidump，通过上述的代码扫码之后，扫描到了一堆antidump，如下：anti_dump 0040100F jmp 0 x1307435ant

7、i_dump 0040107B jmp 0 x1307574anti_dump 004010E7 jmp 0 x130765danti_dump 00401164 jmp 0 x130777canti_dump 004011D0 jmp 0 x130785eanti_dump 0040123C jmp 0 x1307956anti_dump 004012A8 jmp 0 x1307a97anti_dump 00401314 jmp 0 x1307b6aanti_dump 00401380 jmp 0 x1307cb1anti_dump 004013EC jmp 0 x1307dca 首先什么是

8、antidump？antidump就是在你脱掉外壳之后的检测等阻碍你脱壳的校验！Antidump大致分为 堆antidump，cpuid antidump，校验PE相关的数据的antidump，以及可以结合fs段和系统动态库地址等变动的数据进行antidump！例如：1、运行壳代码的时候，将一个在”加密壳加密期间生成的”随机值放入到堆里，然后把堆的地址放入到某一个区段里，然后antidump SDK可以在区段里面取出这个堆地址，然后拿到这个随机值，然后比对是否相等，如果不相等则触发校验！这里出现了堆，如果程序被脱壳了，此时没有外壳的加载，所以堆可能就无法被创建，所以脱壳后的程序访问堆地址就会触

9、发异常，如果异常程序就会崩溃 2、antidump里面可以检测区段的地址，以及区段的数量，以及是否添加了新的区段来检测是否被脱壳！这里我分析0 x00401311这个窗口载入事件的地址，其他也一样 通过跟踪扫描并总结如下：通过分析0 x00401311地址，总结Antidump流程：1、在svmp1取出堆地址进行校验2、校验rsrc资源段数据3、校验IAT调用处是否被修改4、校验区段的数量5、校验区段的虚拟地址6、解密堆地址，后续用于取出cpuid的校验值7、Cupid校验8、将上面的所有的值介入运算，将结果与返回地址或栈顶运算，如果校验失败那么返回地址或栈顶的值可能就是一个错误的值 这里讲解

10、一下提高耦合的运算，意思就是说将需要跳转的地址不通过原生的if else进行跳转，而是通过0 和 1运算直接运算出跳转的值，那么可以增强防破解难度，从上述antidump扣取的算法如下：Antidump细节流程：这里从svmp1区段里面拿到数据，取出C592FC1B和91CB8A99，后面会介入运算取出rsrc的数据，后面会介入运算 校验IAT的调用处地址是否修改，因为IAT的调用处要么是push call，要么是call retn和单call，如果你修复IAT的时候完整修复，那么就会触发这个校验，所以修复IAT还是用我上述的方法进行修复较好！通过代码得知，这里会取出区段的数量和校验区段的虚拟

11、地址以及下一个新区段地址，后面会介入运算x1=not(4583DA0D)=BA7C25F2x2=not(6D63035F)=929CFCA0 x3=and(x1,x2)=921C24A0 x4=not(x3)=6DE3DB5Fx5=4503020D /pop ecxx6=not(x5)=BAFCFDF2x7=and(x4,x6)=28E0D952x8=not(28E0D952)=D71F26ADx9=not(28E0D952)=D71F26ADx10=and(x8,x9)=D71F26ADx11=add(D71F26AD,28E0D952)=FFFFFFFFx12=FFFFFFFFx13=no

12、t(FFFFFFFF)=00000000 x14=not(x12)=00000000 x15=and(x13,x14)=00000000 x16=add(x15,0019FCDC)/最后把计算结果和esp相加懂的都懂！这里会取出堆的加密地址，解密之后就是堆地址了，如A5D2B8F1，解密之后就是182E0029，后续可用于校验cpuid的数据 取出cpuid的数据，后续介入运算 然后注意 00440B1B ret，这行地址，虚拟机退出的时候会跳入到代码段的IAT调用处的call ret的ret IAT之阿吉古德轮换量子颗粒修复输入算法 用UIF工具进行指定CALL/JMP/MOV CONST的

13、IAT调用处开始地址和结尾地址 然后UIF开启修复，这一步将call imm，jmp imm，mov r32,imm转换成call dword ptr ds:xxxx，jmp dword ptr ds:xxxx，mov r32,dword ptr ds:xxxx 修复完成之后，效果如下：最后dump，然后配合scllya86进行修复，最后修复转储就好了！（常规操作不介绍那么多）注意，修复转储这一步会导致添加导入表.SCY，所以antidump需要固定区段数量和下一个区段的占位值 修复之尖嘴猴腮牛马基因遗传自动算法之修复antidump 此时需要对如下的代码进行固定即可：由于后续修复的过程中会增

14、加区段，所以需要把如下这两行代码固定掉：区段虚拟地址没变，就不需要固定了！固定cpuid的值，hook cupid即可，然后把eax edx ecx ebx固定住即可！固定cpuid的堆校验值，固定如下代码：;把ecx固定成C592FC1B，通过eip进行判断(vEIP)00EE8A91 mov ecx,dword ptr ecx ecx:18231560 m32:18231560 m32:C592FC1B;把ecx固定成91CB8A99，通过eip进行判断(vEIP)00EA3F3B mov ecx,dword ptr ecx ecx:18242FF6 m32:18242FF6 m32:91

15、CB8A99;把dx固定8（或者是在PE头把区段数量修改成8）00EAC0BF mov dx,word ptr edx edx:40010E m32:40010E m32:CAF00008;把ecx固定0（或者是在PE头把下一个区段地址修改成0）00F3E78D mov ecx,dword ptr ecx ecx:40034C m32:40034C m32:0;如果是push dword ptr ecx，就可以固定成push 6D63035F，通过esi(vEIP)判断是否到达这个位置！00EBFC60 push dword ptr ecx ecx:182E0029 m32:182E0029

16、m32:6D63035F;把edx固定成B7CC2BE7，通过esi(vEIP)判断是否到达这个位置！00ED3518 mov edx,dword ptr edx edx:182E00FA m32:182E00FA m32:B7CC2BE7;固定成push DD42A310，通过esi(vEIP)判断是否到达这个位置！00E9864C push dword ptr ecx ecx:182E021F m32:182E021F m32:DD42A310;把eax固定成D4CC8987，通过esi(vEIP)判断是否到达这个位置！00EAEE23 mov eax,dword ptr eax eax:

17、182E02F8 m32:182E02F8 m32:D4CC8987;把edx固定成8D41BC1，通过esi(vEIP)判断是否到达这个位置！00EBFC60 push dword ptr ecx ecx:182E03C9 m32:182E03C9 m32:8D41BC1 HOOK handle代码如下：;注意：固定6D63035F，B7CC2BE7，DD42A310，D4CC8987，8D41BC1 如果是push dword ptr ecx，就可以固定成push 6D63035F，通过vEIP判断是否到达这个位置！/固定区段数量和下一个区段校验wMemInt(HANDLE)-1,0 x4

18、0010E,0 xCAF00008);/因为我转储了导入表，会导致添加导入表，所以我这里固定区段数量为8wMemInt(HANDLE)-1,0 x40034C,0);/因为我转储了导入表，会导致添加导入表，下一个地址被占位，这里固定区段数量为0wMemInt(HANDLE)-1,0 x4BA667,400000);/刚开始这里为了不触发内存访问异常，随便写的一个值1.过antidump的C语言代码可以通过扫描antidump的过程生产的 2.过antidump就很快了，把上述的代码编译成DLL，后续可以进行劫持导入表进行HOOK 添加导入表 因为有些antidump的代码在程序启动过程运行，所以我这里通过导入表注入的方式patch，首先patch补丁是一个dll，然后打开IAT重建工具添加一下导入表！运行效果如下：最后总结：也就那样吧 文章教程仅供学习娱乐与参考！由于一些特殊问题不放bin和完整的脱壳代码和工具！感兴趣的自行按照文章的教程学习！SProtect脱壳大型纪录片持续更新中！