文件名称:手脱WinUpack 0.399壳
目标程序:病毒样本“泡泡”恶意程序
操作环境:Windows XP-SP2
使用工具:Ollydbg 1.10版
编写作者:Coderui
编写时间:2007年12月16日
联系方式:coderui@163.com
作者博客:http://hi.baidu.com/coderui
---------------------------------------------------------------------------------------------
介绍:
0.399版的WinUpack壳会使PEID在扫描时崩溃。使OD在加载时提示“错误:32 位可执行文件 'C:\auto.exe' 的格式错误或格式未知”,确定后OD停在ntdll里,无法返回到主程序领空。
一年前就遇到过这个壳,以前不知道叫什么名字,后来得到了这个壳的加壳程序,终于知道是什么壳了,但一直还是不会脱(因为无法跟,加载后停在系统DLL里,单步跟N久后还是在系统DLL里转,一生气想用[ALT+F9]返回主程序领空,结果程序就会跑飞运行了)。
今天因为要动态调试分析一个病毒,结果加的就是这个壳,郁闷。这个病毒会释放不只一个DLL恶意组件加载运行(超级流氓软件类),被我跑飞2次,呵呵。后来一个网上的朋友帮用脱壳机给脱掉了,然后发给了我。虽然把脱掉壳后的病毒分析完了,心理感觉不爽,既然脱壳机可以脱,我就一定要手脱。结果发现,原来使用对“GetProcAddress”API下断脱这个壳这么简单(使用类似技术的壳都可以拿这种方法去对付),所以就记录下了手脱的过程。在网上没找到0.399版WinUpack壳的脱文,为了方便就发出来与大家分享下吧,希望对需要的朋友有帮助~_~。
---------------------------------------------------------------------------------------------
重点:
方法1:OD设置:不忽略任何异常。
OD加载程序停在入口点->下命令bp GetProcAddress断点->[F9]运行(可能需要运行多次才能看到返回值是到主程序领空)->当返回值到主程序领空时,[F2]清除断点->下当前函数返回用户空间地址的断点(方法1:硬件断点hr esp值。方法2:在反汇编窗口按[SHIFT+G],输入“[esp]”包括大括号,而且esp是字母,不是esp值)->确定->返回到用户空间后,向下找2条指令,第一个retn指令(JMP指令后边的retn指令),它指向的就是入口点了->然后用工具修复输入表就可以了。
方法2:OD设置:不忽略任何异常。
OD加载程序停在入口点->下命令bp LoadLibraryA断点->[F9]运行->[F2]清除断点->下当前函数返回用户空间地址的断点(方法1:硬件断点hr esp值。方法2:在反汇编窗口按[SHIFT+G],输入“[esp]”包括大括号,而且esp是字母,不是esp值)->确定->返回到用户空间后,向下找(20条指令之内)第一个retn指令,它指向的就是入口点了->然后用工具修复输入表就可以了。
---------------------------------------------------------------------------------------------
OD设置:不忽略任何异常。
7C921231 C3 RETN ;载入后停在这里。我们对“GetProcAddress”API下断(BP GetProcAddress)后F9运行。
7C921232 8BFF MOV EDI,EDI
7C921234 90 NOP
7C921235 90 NOP
7C921236 90 NOP
7C921237 90 NOP
7C921238 90 NOP
7C921239 > CC INT3
7C92123A C3 RETN
7C92123B 90 NOP
7C92123C 8BFF MOV EDI,EDI
7C92123E 90 NOP
7C92123F 90 NOP
7C921240 90 NOP
7C921241 90 NOP
