茶余饭后-Kkruchy壳介绍以及脱壳
推荐 原创一. Kkrunchy介绍
KKrunchy属于压缩壳,常用于恶意代码的压缩保护。
KKrunchy [] is a small executable packer intended for 64k intros. It does not try to pack DLLs and cannot handle exports or TLS. It performs a transform on the input code to allow it to compress better. It will fill uninitialized data sections with zeros and then pack them together with the rest of the code. KKrunchy is often used by malware authors to prevent AV analysts from reversing their code.
二. 脱壳思路
In order to unpack KKrunchy, put a break point on LoadLibraryA. When the break point triggers, step the debugger and search for the initialization of the stack frame. Once the stack frame initialization is complete, dump the debugged process. The dumped process is the unpacked version of the executable.
其实就是API断点的方法,通过在重要API上下断点,找到外壳程序载入DLL和导入函数的位置,来查找OEP的位置。
ESP脱壳定理方法:使用寄存器状态恢复的原理,开始时外壳程序会将寄存器push入栈进行保存,然后当外壳程序执行完毕准备回到主程序前会将寄存器pop出栈恢复,在这里断住后再通过单步步入找到OEP。
三. 背景知识
1. 断点API函数
LoadLibraryA函数
1234HMODULELoadLibraryA([in]LPCSTRlpLibFileName);//将指定的模块加载到调用进程的地址空间中。GetProcAddress函数
123456789101112131415FARPROC GetProcAddress([in]HMODULEhModule,[in]LPCSTRlpProcName);/*[in] hModule包含函数或变量的 DLL 模块的句柄。 LoadLibrary、LoadLibraryEx、LoadPackagedLibrary 或 GetModuleHandle 函数返回此句柄。GetProcAddress 函数不会从使用 LOAD_LIBRARY_AS_DATAFILE 标志加载的模块中检索地址。 有关详细信息,请参阅 LoadLibraryEx。[in] lpProcName函数或变量名称,*/
2.如何使用X_dbg当中的Scylla进行脱壳和IAT修复操作
DUMP文件
注意,dump时需要填写正确的原始OEP地址,然后点击Dump按钮保存文件。
保存完毕之后,最后就是修复文件了。
使用x64dbg脱壳之修复文件
修复文件,本质上就是修复IAT,所以还是使用插件Scylla,先对当前程序的IAT进行扫描,如果能找到就可以使用工具修复,不能就需要手动修复。
为了能更好的获取IAT,我们需要对插件Scylla进行设置。
- 打开设置
- 设置高级扫描
- 查找IAT
- 获取导入表
- 修复上一节的dump文件
四. 脱壳步骤
使用ESP脱壳定律脱壳,通过Scylla修复
找到改变ESP寄存器内容的位置,下硬件访问断点
F9运行,在相应断点处断下
开始向下F8加F4查找OEP所在位置,始终向下执行,遇上向上跳转的指令越过即可。
3. 顺利找到OEP,再使用Scylla进行DUMP修复,得到脱壳后的文件。
![]
()
- 使用IDA载入,文件成功脱壳。
五. 参考文章
- 微软官方文档![]
更多【茶余饭后-Kkruchy壳介绍以及脱壳】相关视频教程:www.yxfzedu.com
相关文章推荐
- CTF对抗-lua 逆向学习 & RCTF picstore 还原代码块 - Android安全CTF对抗IOS安全
- Android安全-如何修改unity HybridCLR 热更dll - Android安全CTF对抗IOS安全
- 软件逆向-浅谈编译器对代码的优化 - Android安全CTF对抗IOS安全
- 二进制漏洞-年终CLFS漏洞汇总分析 - Android安全CTF对抗IOS安全
- 软件逆向-自动化提取恶意文档中的shellcode - Android安全CTF对抗IOS安全
- 二进制漏洞-铁威马TerraMaster CVE-2022-24990&CVE-2022-24989漏洞分析报告 - Android安全CTF对抗IOS安全
- 4-seccomp-bpf+ptrace实现修改系统调用原理(附demo) - Android安全CTF对抗IOS安全
- 二进制漏洞-Windows内核提权漏洞CVE-2018-8120分析 - Android安全CTF对抗IOS安全
- CTF对抗-Hack-A-Sat 2020预选赛 beckley - Android安全CTF对抗IOS安全
- CTF对抗-]2022KCTF秋季赛 第十题 两袖清风 - Android安全CTF对抗IOS安全
- CTF对抗-kctf2022 秋季赛 第十题 两袖清风 wp - Android安全CTF对抗IOS安全
- Pwn-(pwn零基础入门到进阶)第一章 二进制文件 & 4 动态链接 - Android安全CTF对抗IOS安全
- Pwn-(pwn零基础入门到进阶)第一章 二进制文件 & 3 静态链接 - Android安全CTF对抗IOS安全
- CTF对抗-22年12月某春秋赛题-Random_花指令_Chacha20_RC4 - Android安全CTF对抗IOS安全
- Pwn-(pwn零基础入门到进阶)第一章 二进制文件 & 2 ELF文件格式 - Android安全CTF对抗IOS安全
- Pwn-从NCTF 2022 ezshellcode入门CTF PWN中的ptrace代码注入 - Android安全CTF对抗IOS安全
- 编程技术-开源一个自己写的简易的windows内核hook框架 - Android安全CTF对抗IOS安全
- 编程技术-拦截Windows关机消息 - Android安全CTF对抗IOS安全
- CTF对抗-KCTF2022秋季赛 第八题 商贸往来 题解 - Android安全CTF对抗IOS安全
- 软件逆向-分析某游戏驱动保护的学习历程 - Android安全CTF对抗IOS安全
2):严禁色情、血腥、暴力
3):严禁发布任何形式的广告贴
4):严禁发表关于中国的政治类话题
5):严格遵守中国互联网法律法规
6):有侵权,疑问可发邮件至service@yxfzedu.com
- spring boot-java 企业工程管理系统软件源码+Spring Cloud + Spring Boot +二次开发+ MybatisPlus + Redis
- 科技-企业财务数字化转型的机遇有哪些?_光点科技
- 科技-云计算的大模型之争,亚马逊云科技落后了?
- c语言-C语言 变量
- 物联网-USB PD v1.0快速充电通信原理
- 网络-网络安全与TikTok:年轻一代的数字素养
- 安全-安全防御——四、防火墙理论知识
- 网络-网络安全和隐私保护技术
- 安全-webgoat-Security Logging Failures安全日志记录失败
- 笔记-【动手学深度学习】课程笔记 05-07 线性代数、矩阵计算和自动求导