Armadillo v3.x for copymem-II 脱壳完全篇――上篇(查找OEP和代码修复) _ 安全中国www.anqn.com

Armadillo v3.x for copymem-II 脱壳完全篇――上篇
                    ――查找OEP和代码修复

  这是一篇脱Armadillo加壳软件的个人的经历过程，本人特别声明：这个过程是参照了Bighead[DFCG][YCG]翻译的Ricardo Narvaja的“Getright 5 脱壳和重建”文章操作的，可以说是个照葫芦画瓢做的。感谢Bighead[DFCG][YCG]和相关的翻译者，感谢Ricardo Narvaja的文章。
   这次拿来练习的软件是FCG的peterdocter老大提供的软件，下载地址：http://peter.88vip.com/armadillo3.rar
工具：
Ollydbg v1.09d中文版
PuPe 2002版感谢yesky1兄提供
LordPE Deluxe-1.4 by yoda
Import Reconstructor 16f
   准备好笔和纸（不能少喔！），一杯茶和好是心情^_^.让我们开始一个艰苦和漫长的脱壳过程吧（因为我菜！）。Armadillo是当今猛壳之一啦。其CopyMem-II+Debug-Blocker的加壳方式是非常强劲的，好在有牛人在前面带路，虽艰难倒也不迷失方向。
  （根据Ricardo Narvaja 的文章：必须说明一下，此教程仅在 Windows XP 调试。不要尝试在 Windows 98 或者 Windows 2000 下进行。事实上是因为只有 Windows XP 已经与必要的 API 脱钩了。我是windows2003应该符合要求了。）
  开始吧！～
SETUP 1  BP IsDebuggerPresent
  用OllyDbg 装入需要脱壳的软件armadillo3.exe（其实是个crackme），开始我们的第一道关，反anti_debug 这是每个Armadillo加壳软件都要做的第一件工作。在OD的命令行窗口中键入 BP IsDebuggerPresent。记住，我们应保留大小写字母正常状态，因为如果我们键入任何命令有异，我们可以在命令栏右侧的显示来反映出错误信息（未知的命令）。所以要正确写入 BP IsDebuggerPresent 然后按回车键。如果在按回车键后没有信息显示，这是表明此 BP 运行良好。（最好把OD的异常选择项全部勾上）F9运行一下就会来到IsDebuggerPresent函数的入口地址：
77E2AC39 >MOV EAX,DWORD PTR FS:[18]                ; <--中断在这里
77E2AC3F  MOV EAX,DWORD PTR DS:[EAX+30]
77E2AC42  MOVZX EAX,BYTE PTR DS:[EAX+2]            ; <--运行到这里
77E2AC46  RETN
在77E2AC42地址处停下，看看DS:[EAX+2]指向的地址7FFDF002的指是01（这个地址可能和你的不同），修改这个值为00 因为Armadillo通过IsDebuggerPresent函数来检查是不是被调试器调试，如果有调试器就会赋EAX值为01没有就赋EAX值为00。修改这个值就是告诉他没有调试器，自然不会出错拉！记下这个地址，以后经常会用到的。
SETUP 2  BP WaitForDebugEvent
  下面该干什么呢？查找OEP的内存出现的地方，如果你用Peid来查看软件的OEP会得到一个错误的值。因为Armadillo会修改OEP地址。来看看怎么查找呢？在命令行中输入BP WaitForDebugEvent 然后回车。运行一下就会来到函数的入口：
77E605B6 >PUSH EBP    -停在入口
77E605B7  MOV EBP,ESP
77E605B9  SUB ESP,68
77E605BC  PUSH ESI
在堆栈(Stack)窗口我们可以见到在此 API 函数有关参数的全部信息
0012E220   0043776E  /CALL 到 WaitForDebugEvent
0012E224   0012EFF4  |pDebugEvent = 0012EFF4  //注意这个地址
0012E228   000003E8  \Timeout = 1000. ms
这个函数的作用我不知道，但我知道0012EFF4地址就是OEP将会出现的地方。来到转存窗口 G 0012EFF4 ：
0012EFF4  01 00 00 00 10 00 00 00   ... ...
0012EFFC  00 00 00 00 A8 F0 12 00  .... .
0012F004  00 00 50 00 64 EF 12 00  ..P.d?.
0012F00C  5C F0 12 00 00 00 00 00  \?.....
0012F014  5C F1 12 00 00 00 00 01  \?....
0012F01C  58 EF 12 00 AC F0 12 00  X?. .
0012F024  AC F2 12 00 34 5A F3 77   .4Z體
0012F02C  58 BB F7 77 FF FF FF FF  X击w��
0012F034  E7 DF F3 77 E1 26 F4 77  邕體?魒
这一步的作用就是通过函数找到这个内存地址，因为他会出现真正的OEP入口。为什么？我也不知道。
SETUP 3 Bp WriteProcessMemory
命令栏写入 Bp WriteProcessMemory 断点然后点击 RUN。可能会在某些异常停下，那你可以通过按下 Shift + F9 顺利地绕过。这个软件还会出现未注册的Armadillo加壳提示，越过他。只要我们在 WriteProcessMemory API 停下了，千万不要触动任何键，来看看能有什么收获――
堆栈窗口可以看到第一个块的全部信息：
0012E0C0   0043AFC2  /CALL 到 WriteProcessMemory 来自 armadill.0043AFBC
0012E0C4   00000044  |hProcess = 00000044 (window)
0012E0C8   00425000  |Address = 425000
0012E0CC   003A2630  |Buffer = 003A2630
0012E0D0   00001000  |BytesToWrite = 1000 (4096.)
0012E0D4   0012E1DC  \pBytesWritten = 0012E1DC
先来看看Ricardo Narvaja的文章里说的：
是父进程将要复制到它的子进程的指引。此信息是保存在一个缓存之内，父进程来自 003A2630，并且它将会从 00425000开始以每 1000 字节块方式复制到子进程（字节写入），所以如果我们找到此方案，我们就可以很容易理解到子进程第一个块是完全空的，然后当子进程尝试执行 OEP 时将它返回一个错误信息，因为在这个点并没有什么数据，因此父进程获得报告，同样我们可以在父进程看到有关报表，所以它停止运行，在下一个错误前复制必要的数据块然后继续运行。该数据副本的数值大小是 1000 字节，所以当程序试图执行任何超过此块时，各种错误将会发生，然后错误将会向父进程报告，然后父进程将会复制另外的 1000 字节的块，诸如此类。
  这个块开始在 425000 一直到 425FFF。OEP 必定在其值之内。让我们来留意刚才的那个转存窗口：
0012EFF4  01 00 00 00 B0 0E 00 00   ...?..
0012EFFC  B8 0E 00 00 01 00 00 80  ?.. ..€
0012F004  00 00 00 00 00 00 00 00  ........
0012F00C  D0 51 42 00 02 00 00 00  蠶B. ...
0012F014  00 00 00 00 D0 51 42 00  ....蠶B.
0012F01C  D0 51 42 00 00 00 00 00  蠶B.....
0012F024  00 00 00 00 00 00 00 00  ........
0012F02C  13 00 00 00 94 10 00 C0   ...?.
注意窗口中蓝色的字节004251D0（应该倒过来），这个值是在425000到 425FFF之间的值。那么软件的OEP应该的004251D0
呵呵，这段我先怎么也不明白。现在让我来解释一下：（我编程不行，所以说的不一定正确）
WriteProcessMemory 函数是内存复制函数，大家知道Armadillo的copymem-II方式会在内存中生成同名的2个进程，其中一个是父进程，一个是子进程。那么子进程是怎么生成的呢，就是从父进程中用WriteProcessMemory函数复制来的。（这二个进程的窗口句柄不同，并且互相掌握着对方的OEP）SETUP2就是得到了内存复制信息的内存地址，因为复制是按1000的块进行的，所以第一个复制的块中必定包含了子进程的OEP地址。这个地址的值在第一块的值之间。所以上面的转存窗口中的蓝色那个地址就是真正的OEP了。Ricardo Narvaja真牛呀！
  OEP找到了，是不是就能dump出来呢？试试dump出来的代码又是错误的。可以肯定的是有一个函数在解密后又破坏了复制的数据，这就引出了下面来查找破坏数据的函数的方法。接着来――
SETUP 4 NOP 填充 Cripter?Call (不让程序破坏解密的代码)
父进程会为他的子进程解密一个块。但是仍有 Cripter Call 那些加密或破坏旧块来避免被转储。现在就以实际操作来查找这样的 Call 然后用 NOP 填充替换它。这是个艰苦和复杂的工作.
首先在cpu窗口中右击鼠标出现功能菜单，选择中断的〔条件记录〕窗口。在条件表达式中填〔ESP+U〕然后选择〔永远记录条件表达式〕。这个用来检查复制的数据块。
怎么查找Cripter Call呢？
在WriteProcessMemory函数的入口处停下。Alt+K打开调用堆栈窗口：
呼叫堆栈
地址       堆栈       例程 / 参数                         调用来自                          Frame
0012E0C0   0043AFC2   ? kernel32.WriteProcessMemory       armadill.0043AFBC
0012E0C4   00000044     hProcess = 00000044 (window)
0012E0C8   00425000     Address = 425000
0012E0CC   003A2630     Buffer = 003A2630
0012E0D0   00001000     BytesToWrite = 1000 (4096.)
0012E0D4   0012E1DC     pBytesWritten = 0012E1DC
0012E1E8   00439D34   ? armadill.0043A07B                 armadill.00439D2F
0012E21C   00437CA8   armadill.004398F5                   armadill.00437CA3                 0012E218
0012F5BC   00434384   armadill.00436099                   armadill.0043437F                 0012F5B8
0012FD20   00434BDA   armadill.00433CF4                   armadill.00434BD5                 0012FD1C
0012FF38   0043CF87   armadill.00434940                   armadill.<ModuleEntryPoint>+0C9   0012FF34
0012FF3C   00400000     Arg1 = 00400000 ASCII "MZP"
0012FF40   00000000     Arg2 = 00000000
0012FF44   00141EFB     Arg3 = 00141EFB
0012FF48   0000000A     Arg4 = 0000000A

看看这里：
0012E0C0   0043AFC2   ? kernel32.WriteProcessMemory       armadill.0043AFBC
现在父进程的0043AFC2地址处调用了这个函数，向下看看：
0012E1E8   00439D34   ? armadill.0043A07B                 armadill.00439D2F
通过这个我们知道程序在00439D2F处也调用了这个函数。双击来到：
00439D27  MOV ECX,DWORD PTR SS:[EBP+C]
00439D2A  PUSH ECX
00439D2B  MOV EDX,DWORD PTR SS:[EBP+8]
00439D2E  PUSH EDX
00439D2F  CALL armadill.0043A07B  //这里调用了上面的函数
00439D34  ADD ESP,0C
00439D37  AND EAX,0FF
00439D3C  TEST EAX,EAX
00439D3E  JNZ SHORT armadill.00439D47
00439D40  XOR AL,AL
00439D42  JMP armadill.0043A074
00439D2F  CALL armadill.0043A07B 这个Call 是个解密的函数，那么肯定有一个破坏解密的函数。查找另外一个同样的Call的地方就是我们要找的地方，在OD中的：
00439D2F  CALL armadill.0043A07B 处右击功能菜单，选择〔查找参考〕……〔调用目标〕选项就会打开全部的调用什么Call的地方：
参考位于armadill:.text 到 0043A07B
地址       反汇编                                    注释
00439D2F   CALL armadill.0043A07B                    (初始 CPU 选择)
00439FEA   CALL armadill.0043A07B        //原来这里有一个^_^
双击00439FEA   CALL armadill.0043A07B就会来到这个梦中的地方：
00439FDA  MOV ECX,DWORD PTR DS:[462AAC]
00439FE0  MOV EDX,DWORD PTR DS:[462AB0]
00439FE6  MOV EAX,DWORD PTR DS:[EDX+ECX*4]
00439FE9  PUSH EAX
00439FEA  CALL armadill.0043A07B  //这里这里这里
00439FEF  ADD ESP,0C
00439FF2  PUSHFD
00439FF3  PUSHAD
00439FF4  JMP SHORT armadill.0043A021
没有别的说了，nop他。

SETUP 5 运行该 API 然后在 OEP 中生成一个死循环
现在是时侯要执行 WriteProcessMemory 一次了。做法是我们可以在两个选项之间作出选择。一是要转到菜单 Debug|Execute till return 然后它将会运行直到 RET，然后按一次 F7。二是要转到堆栈第一行然后在那里设置 BPX 然后就 F9 运行它。这段我就复制了Ricardo Narvaja的原文。我没得说了。反正会到API的调用处就可以了：
0043AFB3  PUSH EDX                                          ; |Address
0043AFB4  MOV EAX,DWORD PTR DS:[462A9C]                     ; |
0043AFB9  MOV ECX,DWORD PTR DS:[EAX]                        ; |
0043AFBB  PUSH ECX                                          ; |hProcess
0043AFBC  CALL NEAR DWORD PTR DS:[<&KERNEL32.WriteProcessMe>; \WriteProcessMemory ********
0043AFC2  TEST EAX,EAX
0043AFC4  JNZ SHORT armadill.0043B001
0043AFC6  PUSHFD
0043AFC7  PUSHAD
0043AFC8  JMP SHORT armadill.0043AFF5
现在是 PUPE 运作的时候了，PUPE 是一个西班牙语的工具。你可以到 www.google.com 网站搜索它，在下一行我们将要在子进程的 OEP 内生成一个死循环。此时将会静止子进程直到我们能够叫醒他。不过我没有找到，还是yesky1兄提供了这个工具。再次感谢！
打开PUPE 选择进程中二个armadillo3.exe的上面的一个，位于上面的子进程，下面的父进程。我们选择的是子进程。然后在它上面按右键并选择 "Parchear"。打开了Parchear窗口。填入参数，No de bytes = 2 和 Introducir la direccion = 4251D0（子进程的OEP），然后点击 Buscar)记下在对话框见到的原始字节然后用死循环 EB FE 来替换原始字节，点击 " Parchear" 然后 INFINITE LOOP (死循环)便会就绪。
呵呵，第一次使用还真不知道这是干什么呢，其实就是用PUPE修改入口的代码，让他变成跳转到EIP地址的代码。这样程序在入口点就会停下。跳向自己的地址，程序会向下执行吗？

SETUP 6 BP WaitForDebugEvent 和 NOP 填充 API
在命令行中键入 BP WaitForDebugEvent 然后按回车键，最后点击 RUN
（为什么要下这个API请参照leo_cyl1大虾的文章）
当停止后，会来到这里：
77E605B6 >PUSH EBP  //停在这里
77E605B7  MOV EBP,ESP
你要切记：在任何时候都绝对不要运行这个 API！留意一下在 (转储)窗口中的报表，然后转到 STACK (堆栈)窗口。这段我也只能抄，我太菜了。现在来看看堆栈窗口中的信息：
0012E220   0043776E  /CALL 到 WaitForDebugEvent   //调用信息
0012E224   0012EFF4  |pDebugEvent = 0012EFF4
0012E228   000003E8  \Timeout = 1000. ms
可以看到，如果我们运行这个 API，我们将要转到0043776E所以在主窗口用Go to|Expression =0043776E能到达那里。
0043776E  TEST EAX,EAX

1 2 下一页