学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

2万

积分

41

好友

1157

主题
发表于 2020-6-4 11:59:35 | 查看: 4396| 回复: 0
  本章节我们将学习OD脚本的使用与编写技巧,脚本有啥用呢?脚本的用处非常的大,比如我们要对按钮事件进行批量下断点,此时使用自动化脚本将大大减小我们的工作量,再比如有些比较简单的压缩壳需要脱壳,此时我们也可以写出属于自己的脱壳脚本,以后遇到了对应的壳就可以使用对应脚本快速的搞定,好了废话不多说,开始进入今天的正题吧。
  ------------------------------------------------------------
本章难度:★☆☆☆☆☆☆☆☆☆
课程课件:CM_15.zip
------------------------------------------------------------
Delphi/BC++ 批量下断脚本  脚本代码,保存为 Delphi.osc

var Addr                      // 局部变量
mov Addr,401000               // 指定地址为401000

loop:
find Addr,#740E8BD38B83????????FF93????????#     // 查找特征码,并将地址放入RESULT(00401000)
cmp $RESULT,0                                    // 如果为0则直接跳出循环
je Exit
add $RESULT,0A                                   // 相加 (00401000+0A=0040100A)
bp $RESULT                                       // 下断
add $RESULT,1                                    // 每次递增1
mov Addr,$RESULT                                 // 将地址赋给Addr
jmp loop
Exit:
ret
  1.OD直接载入CM课件中的【Project1.exe】这是一个Delphi写的测试程序,此时我们运行这个程序,会看到有三个按钮。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  2.回到OD反汇编窗口,点击【右键】,运行脚本打开,选择我们上方保存下来的脚本文件。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  3.选择好脚本以后,我们点击重新载入程序,然后按下【Alt +B】会看到所有的断点已经下好了,这个程序很小所以就这么几个。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  4.运行程序点击,弹窗按钮,程序会断下,直接【F7】进入CALL的内部就能看到按钮的核心代码了。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
VB6.0 批量下断脚本  脚本代码,保存为 VB6.osc

var Addr
mov Addr,401000

loop:
find Addr,#816C2404??000000#
cmp $RESULT,0
je Exit
add $RESULT,08
bp $RESULT
add $RESULT,1
mov Addr,$RESULT
jmp loop
Exit:
  1.OD直接载入CM课件中的【VB6.exe】这是一个VB写的测试程序,我们运行这个程序。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  2.回到OD反汇编窗口,点击【右键】,运行脚本打开,选择我们上方保存下来的脚本文件。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  3.选择好脚本以后,我们点击重新载入程序,然后按下【Alt +B】会看到所有的断点已经下好了,这个程序很小所以就这么几个。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  4.运行程序点击,弹窗按钮,程序会断下,直接【F8】进入CALL的内部就能看到按钮的核心代码了。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
易语言 批量下断脚本  脚本代码,保存为 易语言.osc

var Addr
mov Addr,401000

loop:
find Addr,#FF55FC5F5E#
cmp $RESULT,0
je Exit
bp $RESULT
add $RESULT,1
mov Addr,$RESULT
jmp loop
Exit:
ret
  1.OD直接载入CM课件中的【易语言.exe】这是一个易语言写的测试程序,我们运行这个程序。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  2.回到OD反汇编窗口,点击【右键】,运行脚本打开,选择我们上方保存下来的脚本文件。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  3.选择好脚本以后,我们点击重新载入程序,然后按下【Alt +B】会看到所有的断点已经下好了,这个程序很小所以就这么几个。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  4.运行程序点击,弹窗按钮,程序会断下,直接【F7】进入CALL的内部就能看到按钮的核心代码了。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
VC++6.0/MFC 手动下断点  VC6的特征比较特殊,这里我们只能手动下断了
  1.OD直接载入CM课件中的【VC++.exe】这是一个易语言写的测试程序,我们运行这个程序。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  2.按下【Ctrl +F】按钮,输入命令【sub eax,0a】,会搜索到如下代码,我们选中【sub eax,0a】的下面一条指令处回车。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  3.程序会跳转到如下位置,我们在跳转后的【00416043】处下断点,VC6只有这一处。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  4.回到程序,我们点击【注册按钮】然后程序会断在CALL的位置上,我们直接【F7】进入到CALL的内部,然后在按下两次【F8】

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
  最后就是VC++的按钮事件核心代码。

X86逆向15:OD脚本的编写技巧

X86逆向15:OD脚本的编写技巧
几个常用的脱壳脚本  我们使用CM_14.zip里面加过壳的案例。
  1.脱 Aspack 脚本

// 脱 Aspack 壳的脚本
findop eip,#61#         // 查找popad
bphws $RESULT,"x"       // 返回查找到的地址,下硬件执行断点 
run                     // 运行
bphws $RESULT           // 取消硬件断点
sto                     // 单步F8
sto
sto
sto
cmt eip,"已经找到了"    // 添加注释
ret
  2.脱 UPX 脚本

// 脱 UPX 脚本

var addr              // 定义一个变量addr 
sto                   // 单步,也就是F8 
mov addr,esp          // 把此处ESP的地址给变量addr 
bphws addr,"r"        // 下硬件读取断点,也就是硬件访问断点 
run                   // 运行,也就是F9 
BPHWC addr            // 取消断点 
sto                   // 单步,也就是F8 
find eip,#83EC80#     // 查找特征加密语句
bp $RESULT            // 对返回的地址处F2下断
run                   // 运行到该处
sto                   // 单步F8两次
sto

cmt eip,"这里就是OEP" // 脱壳完成
ret                   // 结束脚本
  3.下方的两个脚本为转载脚本,一个是脱MoleBox另一个是脱穿山甲

MoleBox v2.X 脱壳脚本

var addr //定义一个变量,用来放ESP的值
sto
sto//单步2次
mov addr,esp //把ESP的值,放变量addr中
bphws addr,"r" //下硬件访问断点

/*接着来处理IAT*/ 

gpa "VirtualProtect","kernel32.dll"//查找特征API,并把查找到的地址放RESULT中
bp $RESULT //对找到的地址处,下F2断点,也就是BP
run//运行
bc $RESULT //取消断点
rtu//ALT+F9返回


/*返回后,找特征加密语句,处理IAT的加密*/

find eip,#8901#//查找特征加密语句
bp $RESULT //对返回的地址处F2下断
run//运行到该处
bc $RESULT //取消断点
repl eip, #8901#, #9090#, 10 //把加密语句NOP掉,即替换为9090

/*下面就去OEP了*/ 

run//由于刚才已经下好了硬件断点,现在只要运行即可
bphwc addr //取消断点
sto
sto//单步走2次
sti//F7跟进,就来到了OEP了
cmt eip,"这里就是OEP!"//在EIP处,也就是现在OD停留了位置加注释
ret//结束脚本
var GetModuleHandleA
var VirtualAlloc
var CreateThread 
var OEP //定义4个变量

MSGYN "请取消所以的断点,忽略所有异常,并添加C000001D..C000001E到异常中!"//提示运行脚本前的一些信息
cmp $RESULT, 0//比较是否点"否"或"取消"
je end//如果点"否"或"取消",就来到end处

/*做些准备工作,找到所要下的各函数的地址*/

gpa "GetModuleHandleA", "kernel32.dll"//找特征API函数GetModuleHandleA
mov GetModuleHandleA, $RESULT //把找到的地址放变量GetModuleHandleA中
add GetModuleHandleA,5//GetModuleHandleA=GetModuleHandleA+5
gpa "VirtualAlloc", "kernel32.dll"//找特征APIVirtualAlloc
mov VirtualAlloc, $RESULT //把找到的地址放变量VtrtualAlloc中
gpa "CreateThread", "kernel32.dll"//找特征APICreateThread
mov CreateThread, $RESULT //把找到的地址放变量CreateThread中 

/*下断点GetModuleHandleA+5,找合适的时机返回*/

bphws GetModuleHandleA, "x" //在GetModuleHandleA+5处,下硬件执行断点

label1: //标签label1
esto//SHIFT+F9
cmp eax,VirtualAlloc//比较EAX的值是否为VirtualAlloc 
jne label1//不是的话,来到标签label1,继续SHIFT+F9
esto//再SHIFT+F9,来到最佳的返回时机
bphwc GetModuleHandleA//取消此硬件断点
rtu //ALT+F9返回

/*找magic jump,并修改*/

find eip, #0F84????????#//查找magic jump的特征码,"?"为通配符
bp $RESULT//找到的地址处下断
esto//SHIFT+F9
bc $RESULT//取消断点
repl eip, #0F84????????#, #90E9????????#, 10//修改magic jump,即改为"90E9"。由于字节数不同,故NOP填充


/*寻找OEP*/

bp CreateThread //下断点bp CreateThread
run //运行
bc CreateThread //取消断点
rtu //ALT+F9返回
rtr //执行到返回,相当与CTRL+F9
sti //F7

/*例子中的特征代码:
00B4F6F32BCAsub ecx,edx
00B4F6F5FFD1call ecx
00B4F6F7EB 20 jmp short 00B4F719
*/


find eip, #2B??FF??8?#//找特征代码
mov OEP, $RESULT//把返回的值放变量OEP中
add OEP, 2//OEP=OEP+2,很明显找到地址的后2个字节就是
bp OEP//下断点
run //运行
bc OEP//取消断点
sti //F7进去,就是OEP了
cmt eip,"这里就是OEP!" //在EIP处,也就是现在OD停留了位置加注释
ret //结束脚本

end:
msg "您取消了脚本的运行!"//提示没有运行脚本
ret //结束脚本的运行


温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046

小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

GMT+8, 2024-3-29 06:45 , Processed in 0.100353 second(s), 41 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表