逆向工程核心原理--->内嵌补丁
参考:https://blog.csdn.net/ski_12/article/details/80670045
一 分析程序
1.1
此处循环,是对4010F5~401248的区域解密,对每一个字符和0x44异或。继续跟踪进入4010BD。
1.2
跟进4010BD函数后,发现两个循环。第一个仍然是对401007地址处的区域解密,循环7F次,所以是401007~401085的每一个字符和0x7异或。
第二个仍然是对4010F5~401248区域解密,每个字符和0x11异或。说明这4010F5~401248区域被加密了两次,所以此处解密两次。
1.3
继续往下分析,进入401039地址处的函数。上来就是一个循环,是对4010F5区域的字符的值,没每个字节,加到edx里面。然后到下面和0x31EB8DB比较。如果被修改过,直接跳向错误的地方。在401083处有一个跳向OEP的跳转。
1.4
来到OEP之后因为被解密过后的代码会被视为数据,而不是指令,所以我们需要点分析代码,就变为正常的代码了。开头就是GetModuleHandle,获取一个应用程序或动态链接库的模块句柄。只有在当前进程的场景中,这个句柄才会有效。说明下面一个DialogBoxParmA的四个参数(IpDialogFunc:指向对话框过程的指针
)是4010F5。跟踪到之后发现那些我们要修改的字符串了。
二 内嵌补丁
由上述分析可知,实际要打补丁的字符串都保存在经过两次加密的区域。
整个的操作过程为:先在文件适合的位置插入洞穴代码,该补丁代码更改字符串并通过JMP指令跳转至OEP处,再在004010F5~00401248区域将JMP OEP指令修改为JMP补丁代码。
当补丁代码较少时,使用第一种方法即在文件空白的区域插入补丁代码。
2.1
首先查看.text段的大小。
可以看到,第一节区的在磁盘文件的大小为400,映射到内存的大小为280,即第一节区从磁盘文件加载到内存后有大小为180(RAW 680~800区域 > RVA 1280~1400区域)的区域并未使用,该区域为空白区域(NULL-Padding),可以用来填写补丁代码。另外需要注意的是,1E4的属性值中添加的IMAGE_SCN_MEM_WRITE(可写属性),在程序进行解码操作时,必须在该节区头添加可写属性以获得相应内存的可写权限,否则会引发非法访问的异常。对于一个普通的PE文件,其代码节是无写权限的,但是压缩工具、Crypter等文件的代码节都有可写权限。
注意,内存中的节区大小为280,但实际节区的内存大小并非280,而是以Section Alignment的整数倍扩展,即实际大小为1000。
2.2
首先写洞穴代码,最后记得跳转到OEP处。
在跳向补丁代码的地方,因为此处的代码为和0x7解密之后的。即 E9 F8 01应该是我们修改经过解密之后的值,那解密之前呢?因为一个数的两次异或会回到本身。所以
E9 xor 7= EE F8 xor 7= FF 01 xor 7= 6
则EE FF 6 即为解密前的数据,所以我们应该修改此值。
2.3
首先是保存洞穴代码,复制到可执行文件,退出OD。在十六进制编辑器中修改上面的数据。
而文件中实际的加密形态为(VA 00401083 > RVA 1083 > RAW 483):
在此483处我们看到我们在上一步修改的值了,这个E9 F8 01 我们已经知道是解密后的,
所以修改为 EE FF 6 ,然后保存文件。
2.4 运行查看效果。
