第五节 脱壳高级篇1、
认识Import表著者: [yAtEs] [Jamesluton@hotmail.com] 译者:hying[CCG] 标题:PE输入表说明有很多介绍PE文件的文章,
但是我打算写一篇关于输入表的文章,因为它对于破解很有用。 我想解释它的
最好的方法是举一个例子,你可以跟着我逐步
深入,一步一步的思考,最后你将完全
明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的,有一个比较小的输入表,所以我想它应该是个不错的范例。 好了,让我们开始吧。
首先我们得找到输入表,它的地址放在PE文件头偏移80处,所以我们用16进制编辑器打开我们的EXE文件,我们先得找到PE文件头的起始点,这很简单,因为它总是以PE,0,0开始,我们可以在偏移100处找到它。在一般的WIN32程序中文件头偏移被放在文件0X3C处,在那我们通常可看到00 01 00 00,由于数据存储时是低位在前,高位在后的,所以翻转过来实际就是00000100,就象前面我们说的。接下来我们就可以在PE文件中找到我们的输入表,100+80=180在偏移180处我们看到0030 0000,翻转一下,它
其实应该是00003000,这说明输入表在内存3000处,我们必须把它转换成文件偏移。 一般来说,输入表总是在某个段的起始处,我们可以用PE编辑器来查看虚拟偏移,
寻找3000并由此发现原始偏移。很简单的。打开我们看到: -CODE 00001000 00001000 00000200 00000600 -DATA 00001000 00002000 00000200 00000800 .idata 00001000 00003000 00000200 00000A00 .reloc 00001000 00004000 00000200 00000C00 找一下,我们就发现.idata段的虚拟偏移是3000,原始偏移是A00,3000-A00=2600,我们要记住2600,以便以后转换其它的偏移。如果你没找到输入表的虚拟偏移,那么就找一下最接近的段。 来到偏移A00处,我们就看到被称为IMAGE_IMPORT_DESCRIPTORs(IID)的东东,它用5个字段表示每一个被调用DLL的信息,最后以Null结束。 ************************************************************************** (IID) IMAGE_IMPORT_DESCRIPTOR的结构包含如下5个字段: OriginalFirstThunk, TimeDateStamp, ForwarderChain, Name, FirstThunk OriginalFirstThunk 该字段是指向一32位以00结束的RVA偏移地址串,此地址串中每个地址描述一个输入函数,它在输入表中的顺序是不变的。 TimeDateStamp 一个32位的时间标志,有特殊的用处。 ForwarderChain 输入函数列表的32位索引。 Name DLL文件名(一个以00结束的ASCII字符串)的32位RVA地址。 FirstThunk 该字段是指向一32位以00结束的RVA偏移地址串,此地址串中每个地址描述一个输入函数,它在输入表中的顺序是可变的。 ************************************************************************** 好了,你有没有理解?让我们看看我们有
多少IID,它们从偏移A00处开始 3C30 0000 / 0000 0000 / 0000 0000 / 8C30 0000 / 6430 0000 {OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk} 5C30 0000 / 0000 0000 / 0000 0000 / 9930 0000 / 8430 0000 {OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk} 0000 0000 / 0000 0000 / 0000 0000 / 0000 0000 / 0000 0000 每三分之一是个分界,我们知道每个IID包含了一个DLL的调用信息,现在我们有2个IID,所以我们估计这个程序调用了2个DLL。甚至我可以打赌,你能推测出我们将能找到什么。 每个IID的第四个字段表示的是名字,通过它我们可以知道被调用的函数名。第一个IID的名字字段是8C30 0000,翻转过来也就是地址0000308C,将它减去2600可以得到原始偏移,308C-2600=A8C,来到文件偏移A8C处,我们看到了什么?啊哈!原来调用的是KERNEL32.dll。 好了,接下来我们就要去找出KERNEL32.dll中被调用的函数。回到第一个IID。 FirstThunk字段包含了被调用的函数名的标志,OriginalFirstThunk仅仅是FirstThunk的备份,甚至有的程序根本没有,所以我们通常看FirstThunk,它在程序运行时被初始化。 KERNEL32.dll的FirstThunk字段值是6430 0000,翻转过来也就是地址00003064,减去2600得A64,在偏移A64处就是我们的IMAGE_THUNK_DATA,它存储的是一串地址,以一串00结束。如下: A430 0000/B230 0000/C030 0000/CE30 0000/DE30 0000/EA30 0000/F630 0000/0000 0000 通常在一个完整的程序里都将有这些。我们现在有了7个函数调用,让我们来看其中的两个: DE30 0000翻转后是30DE,减去2600后等于ADE,看在偏移ADE处的字符串是ReadFile, EA30 0000翻转后是30EA,减去2600后等于AEA,看在偏移AEA处的字符串是WriteFile, 你可能注意到了,在函数名前还有2个这字节的00,它是被作为一个提示。 很简单吧,你可以自己来试一下。回到A00,看第二个DLL的调用 5C30 0000 / 0000 0000 / 0000 0000 / 9930 0000 / 8430 0000 {OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk} 先找它的DLL文件名。9930翻转为3099-2600 =A99,在偏移A99处找到USER32.dll。再看FirstThunk字段值:8430翻转为3084-2600=A84,偏移A84处保存的地址为08310000,翻转后3108-2600=B08,偏移B08处字符串为MessageBoxA。明白了吧,接下来你就可以把这些用在你自己的EXE文件上了。 摘要: 在PE文件头+80偏移处存放着输入表的地址,输入表包含了DLL被调用的每个函数的函数名和FirstThunk,通常还有Forward Chain和TimeStamp。 当运行程序时系统调用GetProcAddress,将函数名作为参数,换取真正的函数入口地址,并在内存中写入输入表。当你对一个程序脱壳时你可能注意到你有了一个已经初始化的FirstThunk。例如,在我的WIN98上,函数GetProcAddress的入口地址是AE6DF7BF,在98上,所有的KERNEL32.dll函数调用地址看上去地址都象:xxxxF7BF,如果你在输入表中看到这些,你可以利用orignal thunk重建它,或者重建这个PE程序。 1 2 3 4 5 6 7 下一页>> 内容导航 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文:一步一步教你加密解密技术——压缩与脱壳(4)(1) 返回网络安全首页
一步一步教你加密解密技术——压缩与脱壳(4)(1)
时间: 2024-09-22 09:48:43
一步一步教你加密解密技术——压缩与脱壳(4)(1)的相关文章
一步一步教你加密解密技术——压缩与脱壳(1)(1)
压缩与脱壳第一节 PE文件格式PE教程1: PE文件格式一览PE 的意思就是 Portable Executable(可移植的执行体).它是 Win32环境自身所带的执行体文件格式.它的一些特性继承自 Unix的 Coff (common object file format)文件格式."portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格
一步一步教你加密解密技术——压缩与脱壳(3)(1)
第四节 手动脱壳1.基本知识手动脱壳就是不 借助自动脱壳工具,而是用动态调试工具SOFTICE或TRW2000来脱壳.这课谈谈一些入门方面的知识,如要了解更深的脱壳知识,请参考<脱壳高级篇>这课.工具*调试器:SoftICE .TRW2000*内存抓取工具:Procdump等:*十六进制工具:Hiew.UltraEdit.Hex Workshop等:*PE编辑工具: Procdump.PEditor等:名词概念★PE文件:Microsoft设计了一种新的文件格式Portable Executa
一步一步教你加密解密技术——压缩与脱壳(2)(1)
第二节 认识脱壳作为一个以"壳"为主的站台,如果连访者连什么是"壳"都不清楚的话,那我也太失败了.很早以前就想写编完全关于"壳"的文章,但苦于时间和文字水平的关系,都没提笔. 首先我想大家应该先 明白"壳"的概念.在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等.同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序.它们一般都是先于程序运行,拿到控制权,然后完成它
一步一步教你加密解密技术——软件保护技术(1)(1)
第6章 软件保护技术第一节 常见保护技巧1.序列号方式(1)序列号保护机制数学算法一项都是密码加密的核心,但在一般的软件加密中,它似乎并不太为人们关心,因为大多数时候软件加密本身实现的都是一种编程的技巧.但近几年来随着序列号加密程序的普及,数学算法在软件加密中的比重似乎是越来越大了. 我们先来看看在网络上大行其道的序列号加密的工作原理.当用户从网络上下载某个shareware--共享软件后,一般都有使用时间上的限制,当过了共享软件的试用期后,你必须到这个软件的公司去注册后方能继续使用.注册过程一
一步一步教你加密解密技术——动态分析技术(1)
第2章 动态分析技术第一节 SoftICE与TRW2000安装安装与配制SOFTICE有几个平台的版本,DOS,WINDOWS 3.0,Windows 95/98,WINDOWS NT,等. 由于现在最普及的操作系统是 Windows 95/98.Windows NT.Windows Millennium.Windows2000因此就讲讲SOFTICE在这几个平台安装时的一些注意事项.一.SOFTICE for win9x安装与配制㈠.SOFTICE安装 1.SOFTICE目前最新版本是4.05
一步一步教你加密解密技术——函数、资源与注册表(1)
第4章 函数.资源与注册表第一节 Win32 API 函数1.限制程序功能函数1.EnableMenuItem允许.禁止或变灰指定的菜单条目2.EnableWindow允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) 2.对话框函数CreateDialog从资源模板建立一非模态对话窗CreateDialogParam 从资源模板建立一非模态对话窗CreateDialogIndirect 从内存模板建立一非模态对话窗CreateDialogIndirectParam从内存模板建立一非模态对
一步一步教你加密解密技术——注册机和补丁制作(1)
注册机和补丁制作第一节 概念介绍 何为注册机?注册机就是针对某一软件,通过一定算法算出注册码的程序.我们写注册机时,一般都要了解注册码的算法(这当然是通过跟踪调试了解的),之后用汇编语言或其它 高级语言来把算法还原.这样大家可根据自己的要求输入注册码,如根据自己的姓名,公司的名称注册. 目前 共享软件有两种注册方式: 一 种是交费后,作者给寄有全部功能的 Register软件,原来的Shareware根本没有某些功能: 第二种交费后, 作者给你个注册码(RegisterNumber),注册后功能
一步一步教你加密解密技术——软件保护技术(3)(1)
第三节 加密算法1.RSA算法它是第一个既能用于数据加密也能用于数字签名的算法.它易于理解和操作,也很流行.算法的名字以发明者的名字命名:Ron Rivest, Adi Shamir 和Leonard Adleman.但RSA的安全性一直未能得到理论上的证明.它经历了各种攻击,至今未被完 全攻破.一.RSA算法 : 首先,找出三个数,p,q,r,其中p,q是两个相异的质数,r是与(p-1)(q-1)互质的数......p,q,r这三个数便是privatekey接著,找出m,使得rm==1mod(
一步一步教你加密解密技术——软件保护技术(2)(1)
第二节 反跟踪技术1.Anti-Debug1.MeltICE子类型类型:检测SoftICE.TRW2000平台:Windows9x.Windows NT原理:用CreateFileA( )或_lopen( )函数试图获得SoftICE的驱动程序"\\.\SICE"(Windows9X版本)."\\.\SIWDEBUG"."\\.\NTICE"(Windows NT版本)."\\.\SIWVID"等的句柄,如果成功则说明Soft