脱文标题】 易语言LikeOne新视听网络电影电视UPX-Scrambler RC1.x反脱壳分析+伪破解
 
【破文作者】 weiyi75[Dfcg][D.4S]
 
【作者邮箱】 [email protected]
 
【作者主页】 Dfcg官方大本营、龙族联盟论坛
 
【使用工具】 Peid,Anti-UPX scramble.exe,UpxShell,olldbg,winhex
 
【破解平台】 WinNT/2000/XP
 
【软件Software名称】 LikeOne新视听网络电影电视 
 
【下载页面】 点击下载
 
【软件Software大小】 1169 KB
 
【软件Software限制】 UPX-Scrambler RC1.x -> ㎡nT畂L [Overlay]防脱壳启动NAG+功能限制
 
【软件Software介绍】 最值得信赖网络电影电视软件Software500多个国内外电视电影台40多个精彩视频节目100多部最新电影超强音量控制<新视听网络电影电视>是款功能强大网络电影电视播放软件Software个网络视频、音频巨大仓库软件Software中内置了多达数百个国内外精彩电视频道、数十个国内外精彩电台广播以及数百部最新精彩电影

主要特点:

★在线实时收看数百个国内外精彩电影、电视频道节目
★ 在线实时收听数十个国内外精彩电台广播；
★ 大量且不断更新最新精彩电影；
★ 赏心悦目数十个时尚写真精彩视频；
★ 简便操作您只需单击按钮便可进行观看、收听节目
★ 专人负责节目链接从而保证了节目链接数量和质量 
 
【破解声明】 我是只小菜鸟偶得点心得体会愿和大家分享:)
 
--------------------------------------------------------------------------------
 
【破解分析】
 
首先Peid 查壳为UPX-Scrambler RC1.x -> ㎡nT畂L [Overlay],注意到[Overlay],是指尾部有数据手动脱壳时尾部数据是不能脱壳出来,它并没有载入内存中UPX-Scrambler是UPX种加密器使UpxShell等工具无法直接脱壳

近期 2哥提供了Upx脱壳工具全家福目前用Upx包括变形Upx还真多,赶快去下载吧顶部工具介绍贴里面有下载地址
 
工具脱壳

首先对付UPX-Scrambler,用Anti-UPX scramble使用非常简单自动帮你备份了然后用Upxshell(Upx必须是1.90版)否则无法脱壳脱干干净净Overlay自动帮我们复制了

UPX-Scrambler RC1.x -> ㎡nT畂L [Overlay]  To  Microsoft Visual C 6.0 [Overlay]

904k To 3431k  //用Upx脱Upx壳是最完美

Btw:  并非所有UPX-Scrambler RC1.x都是可以补丁略微变形下工具就败下阵来了手动脱壳复制Overlay我们还是要学


手动脱壳

OD载入
 
006AA60F >  90              NOP   //外壳UpxScrambler入口
006AA610    61              POPAD  //特征码
006AA611    BE 00D06700     MOV ESI,LikeOne1.0067D000
006AA616    8DBE 0040D8FF   LEA EDI,DWORD PTR DS:[ESI+FFD84000]
006AA61C    57              PUSH EDI
006AA61D    83CD FF         OR EBP,FFFFFFFF
006AA620    EB 10           JMP SHORT LikeOne1.006AA632
006AA622    EB 00           JMP SHORT LikeOne1.006AA624
006AA624  ^ EB EA           JMP SHORT LikeOne1.006AA610
006AA626  ^ EB E8           JMP SHORT LikeOne1.006AA610
006AA628    8A06            MOV AL,BYTE PTR DS:[ESI]
006AA62A    46              INC ESI
006AA62B    8807            MOV BYTE PTR DS:[EDI],AL
006AA62D    47              INC EDI
006AA62E    01DB            ADD EBX,EBX
006AA630    75 07           JNZ SHORT LikeOne1.006AA639
..............................................................

根据UPX及变形UPX

POPAD  对应  PUSHAD

PUSHAD

底下是

JMP XXXXX  //入口或第 2层壳特性

直接

Ctrl+F 向下找PUSHAD

006AA77E    60              PUSHAD  //下就找到了
006AA77F  - E9 AD90D5FF     JMP LikeOne1.00403831  //直接F4下来

00403831    55              PUSH EBP      //F8到达C语言入口非也应该是易语言,Upx不破坏输入表直接用OD插件脱壳重建输入表方式选择1 
00403832    8BEC            MOV EBP,ESP
00403834    6A FF           PUSH -1
00403836    68 F0624000     PUSH LikeOne1.004062F0
0040383B    68 A44C4000     PUSH LikeOne1.00404CA4
00403840    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
00403846    50              PUSH EAX
00403847    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040384E    83EC 58         SUB ESP,58
00403851    53              PUSH EBX
00403852    56              PUSH ESI
00403853    57              PUSH EDI
00403854    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
00403857    FF15 48604000   CALL DWORD PTR DS:[406048]               ; KERNEL32.GetVersion
0040385D    33D2            XOR EDX,EDX
0040385F    8AD4            MOV DL,AH
.................................................................................

关闭OD

直接运行脱壳是无法运行提示你文件数据尾部Overlay没有复制出来,我先以为有自校验原来是新版Peid查壳时Overlay翻译成覆盖了时不适应浪费了不少时间对比分析好久,这个是不细心结果自我批评下
运行Winhex打开原

找到Overlay数据从尾部开始然后向上看找到大堆00 00和31 2E 等明显分界点这里就是Overlay起点

我们看到尾部数据从偏移量987开始在987处点右键选块开始

如图



然后滚动条拉到底到偏移量924990为止在924990处点右键选块结束

Crtl+C 复制选定内容

然后打开脱壳文件直接滚动条到尾部偏移量2815487处点右键-编辑-剪贴板数据写入,确定两次

如图



原理搞清楚就不犹豫,保存文件问你是否更新是运行正常

904k To 3652k

比工具脱壳大并且用工具脱壳你可以看见易语言标记区段

Alt+M打开内存镜像

内存镜像项目 15
 地址=00409000
 大小=0029C000 (2736128.)
 Owner=LikeOne1 00400000
 区段=.ecode  //易语言区段
 类型=Imag 01001002
 访问=R
 访问=RWE

这次手动脱壳资源也完全释放了

不过易语言资源没工具编辑代码也完全释放了

我们用资源编辑工具和W32Dasm也可以识别这个是易语言

上篇文章: eXPressor v1.1 脱壳技术

下篇文章: ForgotUnpack Me v0.1.5 bugfix脱壳