2022年IDA实例教程 .pdf

《2022年IDA实例教程 .pdf》由会员分享，可在线阅读，更多相关《2022年IDA实例教程 .pdf（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IDA 实例教程作者：笨笨雄邮箱： 1 软件环境静态分析有很多好处，例如加壳的程序（尽管对于高手来说这并不会耗费太多时间），我们不需要寻找OEP，也不需要解除自校验，只要修复IAT，DUMP 下来就可以动手分析了。假如你需要修改程序，可以使用内存补丁技术。动态与静态，调试器与反汇编器结合可以简化分析任务， 帮助我们理解代码。因此掌握一种反汇编器是非常必要的。IDA 可以说是这方面的首选工具，它为我们提供了丰富的功能，以帮助我们进行逆向分析。这从IDA 复杂的工作界面便可以知道。种类繁多的工具栏在分辨率不高的情况，这些工具栏与反汇编窗口挤在小屏幕里，看起来不爽。 我一般把它关闭（查看 =工具栏

2、=主工具栏）以获得更好的视觉效果。当我们需要这些功能的时候，直接使用快捷键就可以了。下面是常用快捷键的清单：快捷键功能注释C 转换为代码一般在 IDA 无法识别代码时使用这两个功能整理代码D 转换为数据A 转换为字符N 为标签重命名方便记忆，避免重复分析。；添加注释R 把立即值转换为字符便于分析立即值H 把立即值转换为10 进制Q 把立即值转换为16 进制B 把立即值转换为2 进制G 跳转到指定地址X 交叉参考便于查找API 或变量的引用SHIFT+/ 计算器ALT+ENTER 新建窗口并跳转到选中地址这四个功能都是方便在不同函数之间分析（尤其是多层次的调用） 。具体使用看个人喜好ALT+F3

3、 关闭当前分析窗口ESC 返回前一个保存位置CTRL+ENTER 返回后一个保存位置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 32 页 - - - - - - - - - 在工具栏下面的便是工作窗口。主要的窗口分页有“ IDA View-A ” 、 “ Name” 、 “Strings” 、“Exports”和“ Imports” 。对于后面3项相信大家都不会陌生了，它们分别是字符参考，输出函数参考和输入函数参考。Name 是命名窗口， 在那里可以看到我们命名的函数

4、或者变量。这四个窗口都支持索引功能，可以通过双击来快速切换到分析窗口中的相关内容，使用起来十分方便。简单输入几个字符即可定位目标IDA View-A 是分析窗口，支持两种显示模式，除了常见的反汇编模式之后，还提供图形视图以及其他有趣的功能。IDA 的反汇编窗口名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 32 页 - - - - - - - - - 一般我们在分析的时候，并不关心程序的机械码，所以IDA 为我们自动隐藏了这些信息。如果你有需要，可以通过以下步骤来设置：选

5、项 =常规 =反汇编 =显示反汇编行部分=机械码字节数 =修改为你允许显示的大小现在让我们以论坛脱壳版块置顶帖的那个经典为例，看看图形视图的表现。首先我们到以下连接下载：http:/ 标签 40EA0E 便是壳的出口代码的地址。在 OD 中直接跳到该地址，下断点，然后运行到该处，再单步便能看到OEP 了。假如希望通过跳转法找OEP，相信图形视图比你在 OD 一个一个跳转跟随，要快得多。再来看看这个壳的另类脱法。直接运行该程序，DUMP 下来，再使用IMPORTREC 的IAT AutoSearch 功能修复输入表。用IDA 打开修复了输入表的DUMP 文件。在IMPORT 窗口随便选一个API

6、，随便通过交叉参考跳转到一个函数的代码。此处为文件输入表的位置我选了 RegQueryValueExA ，通过交叉参考，来到Sub_402488 处的函数代码。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 32 页 - - - - - - - - - 用鼠标拖动缩略图中的虚线框到上方，便能看到该CALL的头部了。然后按下图指示操作：在函数标记上点击鼠标右键处于最上层的函数，便是OEP 了，使用 PE工具修改文件入口为10CC。现在函数可以正常工作了。这个方法的原理是通常

7、我们写程序都有如下流程：Main proc /代码CALL FUN1 /代码CALL FUN2 /代码END proc 所以处于函数调用最上层的便是MAIN函数了。当然这个方法局限性很大，这里只是对该功能的一种介绍。 我们留意到图表功能有两个选项，在上面的例子中， 我们使用的是 “交叉参考到”。我想细心的朋友大概能通过“交叉参考来自”左边的小图标猜出它的用途了。该功能可以显示目标函数调用了什么函数，当然也包括API 。这样除了观察函数的输入参数来判断是否关键CALL 之外，又多了一个参考途径。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

8、- - - 名师精心整理 - - - - - - - 第 4 页，共 32 页 - - - - - - - - - 2强大的 IDC 有时我们需要分析一些非文件格式的代码，例如ShellCode，远线程注入和病毒。这些代码的特点便是动态获取API ，这给静态分析带来困难。尽管IDA 支持分析2 进制文件，但是缺少IAT 的情况下，分析起来跟不方便。 频繁的切换调试器查看并不是一个好方法。IDC是 IDA 的脚本语言，它功能强大，为我们提供了另一条与调试器交互的途径。如何使调试器获得IDA 分析得出的符号？IDA 提供多种文件格式输出，调试器可以通过解释这些文件获得一些符号。你可以通过文件菜单中

9、的“创建文件”获得更多的信息。以 OD 为例，它的GODUP 插件支持解释MAP 文件（还能加载IDA 的 SIG） 。在 IDA 中使用如下步骤：菜单：文件 =创建文件 =创建 MAP 文件即可创建 MAP 文件，然后切换到OD，使用如下步骤便能获得符号了：菜单：插件 =GODUP Plugin=Map Loader=Load labels 仍然以那个经典的UPX 加壳的 NOTEPAD 为例子，这次我们用OD 打开，在到达OEP之后 DUMP 下来，不修复输入表，直接用IDA 载入后看到下图：丰富的文件载入选项名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

10、 - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 32 页 - - - - - - - - - 需要注意的是Make imports segment 是 PE 文件特有的选项，该选项会隐藏输入表区域的所有数据，同时你获得的好处便是能在图表功能中看到API 的调用。假如你希望查看在输入表的范围内的代码或者数据，你需要使用从菜单中选择“编辑”=“区段”以删除遮挡数据的部分区段。为了更真实的模拟从内存中截取代码的情况，在这里选择Binary file ，载入偏移量选400000（根据实际代码在内存中的基址来选择），然后 IDA 就开始尝试分析可能存在于该文件

11、中的代码了。对照OD 中的 OEP 地址，在IDA 中可以看到以下代码：seg000:004010CC push ebp seg000:004010CD mov ebp, esp seg000:004010CF sub esp, 44h seg000:004010D2 push esi seg000:004010D3 call ds:dword_4063E4 seg000:004010D9 mov esi, eax seg000:004010DB mov al, eax seg000:004010DD cmp al, 22h seg000:004010DF jnz short loc_4010

12、FC OEP 处的部分代码OD 中对应的显示：004010D3 FF15 E4634000 call dword ptr 4063E4 ; kernel32.GetCommandLineA 使用以下ollyscript （附件中的ollyGetSym.txt ）提取 IAT 的符号：var ea var Ecount /0 分隔号的记数器var oFile ask 请输入 IAT 起始地址 cmp $RESULT, 0 je ECancel mov ea, $RESULT ask 输出文件？ cmp $RESULT, 0 je ECancel mov oFile, $RESULT TryGet

13、Sym: GN ea /获取该地址的符号cmp $RESULT,00000000 /OLLYSCRIPT是区分 00000000 和 0的je ETest WRTA oFile,$RESULT_2 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 32 页 - - - - - - - - - mov Ecount,0 add ea,4 jmp TryGetSym ECancel: msg 无效输入 ret ETest: cmp Ecount,1 /不同模块的地址以0分隔je

14、 Send /若存在两个DWORD 的 0 则认为是末尾add Ecount,1 add ea,4 jmp TryGetSym SEnd: Ret 使用下面 IDC 脚本获取符号并对相应地址重命名：#include static main() auto Sbuffer,ea,zcount,filehandle,fileName,CustEa; fileName = AskFile (0,*.*,打开 IAT 符号文件 ); CustEa = AskAddr(0, 目标 IAT 地址 ); filehandle = fopen(fileName,r); for (ea = CustEa; zco

15、unt 2; ea = ea + 4) if (Dword(ea) !=0) Sbuffer = readstr(filehandle); if(strlen(Sbuffer) 加载文件 =加载 FLIRT 签名文件 =Delphi7 RTL/VCL/CLX 现在 IDA 将会根据 Delphi 的函数特征识别出一些库函数，这样可以减少很多工作量。函数较长， 这里只列出关键代码。判断这部分为关键代码主要是因为整个函数就只有该处是循环。解密是对一定长度的数据进行运算，因此会有一个循环对字符中的数据逐一解密。然后从输入参数与寄存器或者堆栈的关联便可以理解函数的关键部分是如何工作的。由于IDA 已经

16、为我们识别出Delphi 的库函数，所以这里很容易便知道解密的方便是对目标字符的每个字节都加上80h。下面来看看我如何使用IDC 来完成解密字符的工作。CODE:00404C2C mov ebp+var_8,1 /已处理字符记数器CODE:00404C2C CODE:00404C33 CODE:00404C33 loc_404C33: ; CODE XREF: sub_404BEE+6Aj CODE:00404C33 mov eax, ebp+var_4 CODE:00404C36 mov edx, ebp+var_8 CODE:00404C39 mov bl, eax+edx-1 /单字节取

17、字符解密CODE:00404C3D add bl, 80h CODE:00404C40 lea eax, ebp+var_C CODE:00404C43 mov edx, ebx CODE:00404C45 call SystemLStrFromChar$qqrr17SystemAnsiStringc CODE:00404C45 CODE:00404C4A mov edx, ebp+var_C CODE:00404C4D mov eax, edi CODE:00404C4F call SystemLStrCat$qqrv CODE:00404C4F CODE:00404C54 inc ebp+

18、var_8 CODE:00404C57 dec esi /字符长度 =0 跳出循环，解密完毕CODE:00404C58 jnz short loc_404C33 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 32 页 - - - - - - - - - Decode.idc #include idc.idc static main() auto ea,x,y,z,zbyte,SRange,TStrLen,DeCodeBuffer,DeCodeCounter,NotTar

19、get; x = 0 x404bee; for ( y=RfirstB(x); y != BADADDR; y=RnextB(x,y) ) /通过交叉参考取得函数调用地址for (SRange = 4; SRange 0 x50; SRange+) z = y - SRange; zbyte = Byte(z); if (zbyte = 0 xb8) /mov eax,mem32 的机械码是b8zbyte = Dword(z + 1); ea = Dword(zbyte); if (ea != 0 xFFFFFFFF) /判断 mem32 是否有效，防止识别错指令if (Byte(zbyte

20、- 1) = 1) /在字符指针前一个字节写入处理标记break; /避免重复处理 PatchByte (zbyte - 1,1); TStrLen = 0; while (TStrLen 0 x30) /解密的循环DeCodeCounter = zbyte + TStrLen; DeCodeBuffer = Byte(DeCodeCounter) + 0 x80; if (DeCodeBuffer = 0 x80) break; PatchByte (DeCodeCounter,DeCodeBuffer); TStrLen+; MakeUnknown (zbyte,TStrLen,0); /

21、取消 IDA 原来的分析结果MakeStr (zbyte, DeCodeCounter); /把该位置标记为字符break; 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 32 页 - - - - - - - - - 既然可以通过加密字符定位目标函数，那么也可以通过加密函数定位加密字符。通过使用解密函数的交叉引用，往上搜索，解密第一条mov eax,mem32 中的字符。当然这里个脚本写得有点简陋， 并不能完全解决程序中的加密字符。这个就任务就留给读者来挑战吧。这里要

22、注意的是我在编写IDC 的过程中遇到很多BUG，这是因为IDA 区分大小写 （调试了很久才知道）。此外要转换数据类型得先把原来的分析结果取消才可以。最后要看到下图的窗口，在运行脚本后，你需要重新打开字符参考窗口（不会自动刷新）。解密后的字符参考窗口名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 32 页 - - - - - - - - - 3静态脱壳上一节我们用IDC 完成了字符解密的工作，既然脱壳的过程实际就是对源程序的解密，现在让我们来尝试在不运行壳的情况下把壳解决

23、掉。首先到下面连接下载一个壳：http:/ 练练手，现在就以该壳的主程序作为例子讲解如何静态脱壳。首先用IDA 加载该壳的主程序。seg005:004560FA loc_4560FA: ; CODE XREF: start:loc_4560F4j seg005:004560FA call sub_456109 seg005:004560FA seg005:004560FA start endp /入口函数的结尾seg005:004560FA seg005:004560FF seg005:004560FF seg005:004560FF seg005:004560FF sub_4560FF pr

24、oc near ; CODE XREF: seg005:00456104p seg005:004560FF /红色seg005:004560FF call sub_456DEF seg005:004560FF seg005:004560FF sub_4560FF endp seg005:004560FF seg005:00456104 call sub_4560FF seg005:00456104 seg005:00456109 seg005:00456109 seg005:00456109 seg005:00456109 sub_456109 proc near ; CODE XREF: s

25、tart:loc_4560FAp seg005:00456109 call near ptr sub_4560FF+1 /+1 表示反汇编出现混乱正常的交叉参考标记是绿色，当显示为红色时则证明与其他部分的反汇编代码产生冲突。另外在jcc,jmp 和 call 后面出现“ +X ”的符号（ X 为任意数字），一般也为反汇编出现混乱。在正式分析之前，我们必须找到花指令的规律，编写脚本，除去它的影响。现在我们从最初产生影响的地方开始。点击地址4560FF，按 D seg005:004560FF byte_4560FF db 0E8h; CODE XREF: seg005:00456p seg005:

26、00456100 unk_456100 db 0EBh ; ? ; CODE XREF: sub_456109p seg005:00456101 db 0Ch seg005:00456102 db 0 seg005:00456103 db 0 seg005:00456104 call near ptr byte_4560FF 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 32 页 - - - - - - - - - 注意 00456104 处也是花指令之一，它的作用就

27、是让IDA 误以为 004560FF 处为有效指令。因此也在该位置上按D，将其转换为数据。而在00456100 处按 C 转换为代码。seg005:004560FA call sub_456109 seg005:004560FA seg005:004560FA start endp seg005:004560FA seg005:004560FA ; - seg005:004560FF db 0E8h seg005:00456100 ; - seg005:00456100 seg005:00456100 loc_456100: ; CODE XREF: sub_456109p seg005:00

28、456100 jmp short loc_45610E seg005:00456100 seg005:00456100 ; - seg005:00456102 db 0 seg005:00456103 db 0 seg005:00456104 db 0E8h seg005:00456105 db 0F6h ; ? seg005:00456106 db 0FFh seg005:00456107 db 0FFh seg005:00456108 db 0FFh seg005:00456109 seg005:00456109 seg005:00456109 sub_456109 proc near ;

29、 CODE XREF: start:loc_4560FAp seg005:00456109 call loc_456100 seg005:00456109 seg005:0045610E seg005:0045610E loc_45610E: seg005:0045610E add esp, 8 现在我们手动修正了一处被花掉的代码。我们知道 OPCODE 的 E8 和 EB 后面的实际是一个相对地址偏移，而不是地址编码（反汇编翻译成地址是便于分析）。因此可能你已经想到通过搜索内存中的相应指令序列，然后告诉IDA 什么是代码，什么则不是。读者可以先试试自己找出壳中花指令的规律，然后对比一下结果。

30、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 32 页 - - - - - - - - - 经过手动整理之后，发现壳使用了下面4 种花指令代码：call label1 db 0E8h label2: jmp label3 db 0 db 0 db 0E8h db 0F6h ; db 0FFh db 0FFh db 0FFh label1: call label2 label3:add esp, 8 花指令 1 Jz label1 Jnz label1db 0EBh d

31、b 2 label1: jmp label2db 81h label2: 花指令 2 push eax call label1 db 29h db 5Ah label1: pop eax imul eax, 3 Call label2 db 29h db 5Ah label2:add esp, 4 pop eax 花指令 3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 32 页 - - - - - - - - - Jmp label1 db 68h Label1:

32、Jmp label2 db 0CDh, 20h Label2: Jmp label3 db 0E8h Label3: 花指令 4 在知道花指令结构之后，容易写出下面脚本用NOP（0 x90h）来代替干扰的反汇编器的数据：static PatchJunkCode() auto x,FBin,ProcRange; FBin = E8 0A 00 00 00 E8 EB 0C 00 00 E8 F6 FF FF FF; / 花指令 1 的特征码for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,FBi

33、n) x = x +5; PatchByte (x,0 x90); x = x + 3 ; PatchByte (x,0 x90); x+; PatchWord (x,0 x9090); x =x +2 ; PatchDword (x,0 x90909090); FBin = 74 04 75 02 EB 02 EB 01 81; / 花指令 2 的特征码for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,FBin) x = x + 4; PatchWord (x,0 x9090); x = x

34、 + 4; PatchByte (x,0 x90); 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 32 页 - - - - - - - - - FBin = 50 E8 02 00 00 00 29 5A 58 6B C0 03 E8 02 00 00 00 29 5A 83 C4 04; / 花指令 3 的特征码for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,F

35、Bin) x = x + 6; PatchWord (x,0 x9090); x = x + 11; PatchWord (x,0 x9090); FBin = EB 01 68 EB 02 CD 20 EB 01 E8; / 花指令 4 的特征码for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,FBin) x = x+2; PatchByte (x,0 x90); x = x+3; PatchWord (x,0 x9090); x = x+4; PatchByte (x,0 x90); 通过

36、观察可知花指令中并不包含任何有意义的数据，在花指令的前后，堆栈是平衡的，各寄存器的数值也是不变的。IDC 提供了隐藏区域的命令，现在来看看以下脚本：static HideJunkCode() auto x,y,FBin; FBin = E8 0A 00 00 00 E8 EB 0C 00 00 E8 F6 FF FF FF; for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,FBin) MakeUnknown (x,0 x17,1); y = x + 0 x17; HideArea (x,y,

37、atoa(x),atoa(x),atoa(y),-1); FBin = 74 04 75 02 EB 02 EB 01 81; for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 32 页 - - - - - - - - - FindBinary(x,0 x03,FBin) MakeUnknown (x,0 x09,1); y = x + 0 x09; Hide

38、Area (x,y,atoa(x),atoa(x),atoa(y),-1); FBin = 50 E8 02 00 00 00 29 5A 58 6B C0 03 E8 02 00 00 00 29 5A 83 C4 04; for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,FBin) MakeUnknown (x,0 x17,1); y = x + 0 x17; HideArea (x,y,atoa(x),atoa(x),atoa(y),-1); FBin = EB 01 68 EB 02

39、CD 20 EB 01 E8; for (x = FindBinary(MinEA(),0 x03,FBin);x != BADADDR;x = FindBinary(x,0 x03,FBin) MakeUnknown (x,0 x0a,1); y = x + 0 x0a; HideArea (x,y,atoa(x),atoa(x),atoa(y),-1); 由于花指令的关系，会使IDA 错误识别指令，可能隐藏区域的边界刚好在一条指令的机械码中间，这样隐藏的操作便会失败。因此在隐藏指令执行之前，先使用MakeUnknown将目标代码设置为未识别的状态。在完成隐藏和替换之后，再使用分析引擎分析代

40、码。static main() auto x,FBin,ProcRange; HideJunkCode(); PatchJunkCode(); AnalyzeArea (MinEA(),MaxEA(); CleanJunkCode.idc 在运行脚本之后，现在让我们看看修复的成果。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 32 页 - - - - - - - - - seg005:0045639F rdtsc seg005:004563A1 push eax se

41、g005:004563A2 rdtsc seg005:004563A4 ; seg005:004563A4 /被隐藏的区域seg005:004563BB sub eax, esp-8+arg_4 seg005:004563BE ; seg005:004563BE seg005:004563C7 ; - seg005:004563C7 seg005:004563C7 loc_4563C7: ; CODE XREF: sub_4563B3:loc_4563C4j seg005:004563C7 add esp, 4 seg005:004563CA ; seg005:004563CA seg005:

42、004563E1 cmp eax, 0FFFh seg005:004563E6 ; seg005:004563E6 seg005:004563F0 seg005:004563F0 loc_4563F0: ; CODE XREF: sub_4563D9:loc_4563EDj seg005:004563F0 jbe short loc_45640D seg005:004563F0 seg005:004563F2 ; seg005:004563F2 seg005:004563FC seg005:004563FC loc_4563FC: ; CODE XREF: sub_4563D9:loc_456

43、3F9j seg005:004563FC int 3 ; Trap to Debugger seg005:004563FD mov ax, 0FEh seg005:00456401 ; seg005:00456401 seg005:0045640A seg005:0045640A loc_45640A: ; CODE XREF: sub_4563D9:loc_456407j seg005:0045640A out 64h, ax ; AT Keyboard controller 8042. seg005:0045640A ; Resend the last transmission seg00

44、5:0045640A seg005:0045640D ; seg005:0045640D 修复之后的代码除了“ sub eax, esp-8+arg_4” （实际上是sub eax,esp）看起来有点怪之后，一切正常。作为一个壳， 在解决了花指令之后，剩下的问题便只有反调试代码和解密（解压缩） 代码了。例如上面列出的代码是通过时间校验检查调试器，一旦检查到， 便使用特权级指令，让程序发生异常，无法继续运行下去。当然，我们在静态的环境下，反调试技巧对于我们来说，毫无意义。 尽管如此， 我们仍然需要知道程序会在什么时候运行到什么地方，最常见的利用系统的机制莫过于SEH 了，现在来看看下面代码：se

45、g005:00456A9B call $+5 seg005:00456AA0 add dword ptr esp+0, 136Fh seg005:00456AA7 push large dword ptr fs:0 seg005:00456AAE mov large fs:0, esp 设置 SEH 的代码名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 32 页 - - - - - - - - - “call $+5”指令后堆栈里的内容便是它的下一条指令在内存中的地址。

46、这是病毒常用的重定位技巧。 shift+/ 输入 0 x00456AA0+0 x136F便能计算出异常处理函数的地址（457E0F）了。seg005:0045745C xor eax, eax seg005:0045745E movzx eax, byte ptr eax 产生异常的代码现在我们应该跳到457E0F 继续分析。 我想你已经了解如何在静态环境下跟踪程序的流程，现在就让我们跟着程序的流程把解密相关的代码找出来。seg005:00459191 push ecx seg005:00459192 xor ecx, ecx seg005:00459194 call $+5 seg005:0

47、0459199 pop edi seg005:0045919A add edi, 9C4h seg005:004591A0 pop edx seg005:004591A1 add edx, 15h seg005:004591A4 loc_4591A4: ; CODE XREF: sub_459149+6Bj seg005:004591A4 movzx eax, byte ptr ecx+edi seg005:004591A8 xor eax, edx seg005:004591AA mov ecx+edi, al seg005:004591AD inc ecx seg005:004591AE

48、cmp ecx, 93h seg005:004591B4 jb short loc_4591A4 解密代码容易看出这就是解密代码，在循环之中，且有修改内存的指令。至于解密的KEY ，其实就是 00459191 处 ECX 的值 +15h。我希望你还记得到达这里之前曾经看过下面代码：seg005:004587B6 mov eax, esp+0Ch seg005:004587BA xor ecx, ecx seg005:004587BC xor ecx, eax+4 seg005:004587BF xor ecx, eax+8 seg005:004587C2 xor ecx, eax+0Ch se

49、g005:004587C5 xor ecx, eax+10h 这一段是检查硬件断点的代码，假如没有设置硬件断点，那么ECX 的结果应该是0。假如你不能理解为什么，我建议你看看SEH 以及关于反硬件断点的一些文章。在知道解密代码的所有关键要素之后，就可以开始动手写脚本了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 32 页 - - - - - - - - - #include idc.idc static main() auto StartAddr,cKey,Cbuf

50、fer,Counter; StartAddr = 0 x00459199 + 0 x9c4; cKey = 0 x15; for (Counter = 0 ; Counter 0 x93; Counter +) Cbuffer = Byte(StartAddr) cKey; / movzx eax, byte ptr ecx+edi/ xor eax, edx PatchByte(StartAddr,Cbuffer); / mov ecx+edi, al StartAddr+; Patch1.idc 在 00459BF7 和 0045B1FC 处可以看到类似的加密代码，就不把脚本给出来了，我把