―――――――――――――――――――――――――――――――――
【脱壳过程】:
某些壳保护的DLL脱壳时重定位表修复让人头痛,偶然发现了ReloX修复重定位表的工具,试验了几次居然成功了,所以写个简单的过程加以推广这个工具。由于比较忙,所以只测试了Neolite和UPX加壳DLL的重定位表修复,其它壳大家再多测试吧。
EdrLib.dll是Neolite V2.0最大比例压缩,加密了重定位表,无法自动脱壳。
―――――――――――――――――――――――――――――――――
一、Entry Point
Neolite是压缩壳,OEP非常容易走到。
003D710F E9 A6000000 jmp EdrLib.003D71BA
//进入Ollydbg后暂停在这
003D71BA 8B4424 04 mov eax,dword ptr ss:[esp+4]
003D71BE 2305 20713D00 and eax,dword ptr ds:[3D7120]
003D71C4 E8 ED040000 call EdrLib.003D76B6
003D71C9 FE05 B9713D00 inc byte ptr ds:[3D71B9]
003D71CF FFE0 jmp eax
//这里就是跳向OEP的地方!:-) 在这里“埋伏”个断点,开始第二步操作
―――――――――――――――――――――――――――――――――
二、适当的Dump时机:搞定输入表
下断:BP VirtualProtect
中断后取消断点,Alt+F9返回
003D7B22 FF55 7A call dword ptr ss:[ebp+7A]; kernel32.VirtualProtect
003D7B25 FF75 66 push dword ptr ss:[ebp+66]
003D7B28 8D55 A2 lea edx,dword ptr ss:[ebp-5E]
003D7B2B 8D85 5EFDFFFF lea eax,dword ptr ss:[ebp-2A2]
003D7B31 FF75 5A push dword ptr ss:[ebp+5A]
003D7B34 8B4F 0C mov ecx,dword ptr ds:[edi+C]
003D7B37 E8 B4030000 call EdrLib.003D7EF0
//区段解压
003D7B3C 8B55 0A mov edx,dword ptr ss:[ebp+A]
003D7B3F 8B47 04 mov eax,dword ptr ds:[edi+4]
003D7B42 8B52 24 mov edx,dword ptr ds:[edx+24]
003D7B45 25 00000080 and eax,80000000
003D7B4A 81E2 00000080 and edx,80000000
003D7B50 39D0 cmp eax,edx
003D7B52 0F84 60FFFFFF je EdrLib.003D7AB8
003D7B58 F647 04 20 test byte ptr ds:[edi+4],20
003D7B5C 0F84 4FFFFFFF je EdrLib.003D7AB1
003D7B62 C745 AA 20000000 mov dword ptr ss:[ebp-56],20
003D7B69 E9 4AFFFFFF jmp EdrLib.003D7AB8
//循环
003D7B6E 837E 24 00 cmp dword ptr ds:[esi+24],0
//F4到这里 [esi+24]=[003E4024]=0000442C 输入表的RVA! ★
003D7B72 0F84 1D010000 je EdrLib.003D7C95
现在程序代码已经解开,API函数的系统地址还没有填充进IAT,也没有重定位,还等什么?运行LordPE完全Dump出这个dll。
―――――――――――――――――――――――――――――――――
三、飞向光明之巅
Dump完毕之后直接F9运行,中断在我们首先“埋伏”的断点处。
003D71CF FFE0 jmp eax ; EdrLib.003D11C9
//飞向光明之巅!:-)
003D11C9 55 push ebp
//OEP
003D11CA 8BEC mov ebp,esp
003D11CC 53 push ebx
003D11CD 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
―――――――――――――――――――――――――――――――――
四、PE修正
用LordPE修正dumped.dll的OEP RVA=000011C9,Import Table RVA=0000442C,IAT RVA可以清零。
删除Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的壳数据。
输出表没有加密,可以用LordPE来察看。RVA=000070A2 Size=6D
WinHex打开EdrLib.dll,把偏移0X10A2处的06D字节复制出来;在dumped.dll中找一点空地,把其挪至4900处吧
修正dumped.dll的Export Table RVA=00004900,Size一样。
当然要修正相关数据了:
->Export Table
Characteristics: 0x00000000
TimeDateStamp: 0x3DC70847 (GMT: Mon Nov 04 23:52:39 2002)
MajorVersion: 0x0000
MinorVersion: 0x0000 -> 0.00
Name: 0x000070DE ("EdrLib.dll") ==>修改为:0x0000493C
Base: 0x00000001
NumberOfFunctions: 0x00000002
NumberOfNames: 0x00000002
AddressOfFunctions: 0x000070CA ==>修改为:0x00004928
AddressOfNames: 0x000070D2 ==>修改为:0x00004930
AddressOfNameOrdinals: 0x000070DA ==>修改为:0x00004938
Ordinal RVA Symbol Name
------- ---------- ----------------------------------
0x0001 0x00001010 "_EdrCenterTextA@12"
0x0002 0x00001080 "_EdrCenterTextW@12""
可以直接用WinHex修改:
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F //原来的输出表
000010A0 00 00 00 00 47 08 C7 3D 00 00 00 00 DE 70 ....G.?....摒
000010B0 00 00 01 00 00 00 02 00 00 00 02 00 00 00 CA 70 ..............署
000010C0 00 00 D2 70 00 00 DA 70 00 00 10 10 00 00 80 10 ..茵..陴......?
000010D0 00 00 E9 70 00 00 FC 70 00 00 00 00 01 00 45 64 ..轲..?......Ed
000010E0 72 4C 69 62 2E 64 6C 6C 00 5F 45 64 72 43 65 6E rLib.dll._EdrCen
000010F0 74 65 72 54 65 78 74 41 40 31 32 00 5F 45 64 72 terTextA@12._Edr
00001100 43 65 6E 74 65 72 54 65 78 74 57 40 31 32 00 CenterTextW@12.
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F //修改的输出表
00004900 00 00 00 00 47 08 C7 3D 00 00 00 00 3C 49 00 00 ....G.?....<I..
00004910 01 00 00 00 02 00 00 00 02 00 00 00 28 49 00 00 ............(I..
00004920 30 49 00 00 38 49 00 00 10 10 00 00 80 10 00 00 0I..8I......?..
00004930 47 49 00 00 5A 49 00 00 00 00 01 00 45 64 72 4C GI..ZI......EdrL
00004940 69 62 2E 64 6C 6C 00 5F 45 64 72 43 65 6E 74 65 ib.dll._EdrCente
00004950 72 54 65 78 74 41 40 31 32 00 5F 45 64 72 43 65 rTextA@12._EdrCe
00004960 6E 74 65 72 54 65 78 74 57 40 31 32 00 nterTextW@12.
只保留LordPE的“Validate PE”选项,对dumped.dll重建PE。
―――――――――――――――――――――――――――――――――
五、ReloX:修复重定位表的“通用”简便方法
ReloX V1.0的作者是牛人MackT/uCF2000,即Import REConstructor的作者。
ReloX可以通过比较不同基址的Dump文件,确定重定位表。
感谢好友WiNroot,特地写了个DLL_LoadEX。用看雪老大的DLL_Loader也可以。
http://bbs.pediy.com/upload/image/2004/DLL_LoadEX.gif_697.gif
把EdrLib.dll复制一份,然后用DLL_LoadEX载入EdrLib.dll和复制EdrLib.dll,注意两个进程的基址。
用LordPE直接把这2个DLL进程Dump出来,另存为1.dll(ImageBase=01040000)和2.dll(ImageBase=01060000)
http://bbs.pediy.com/upload/image/2004/LordPE.gif_776.gif
为了减小体积,删除1.dll和2.dll的Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的数据
运行ReloX,选择1.dll和2.dll,分别填入其相应的基址,点ComPare,稍等,分析完毕。
http://bbs.pediy.com/upload/image/2004/ReloX.gif_822.gif
Fix PE Module,提示dumped_.dll保存成功。ReloX已经自动修正了Relocation RVA和Size!
―――――――――――――――――――――――――――――――――
六、尾声
现在脱壳后的DLL已经可以运行了。但是用Ollydbg载入时会弹出“Module EdrLib has empty code section”的提示,感谢超人heXer,指教是BaseOfCode的缘故,00007000已经被删掉了,所以提示错误。可以把BaseOfCode修正为00001000,这样就不会提示了。如果想做的完美点,还可以把BaseOfData、SizeOfCode等修正。