assembly - 查找打包文件OEP的方法

Question

我已经成功地使用 OllyDbg 解压了一个文件，并使用 ImportRec 修复了转储，但我仍然找不到 OEP。

当我用 OllyDbg 加载文件时，我首先看到这些说明(参见屏幕截图“EP”):

CALL unpackme.00401931
MOV EAX,8C603
POP EBX
ADD EAX,EBX
JMP EAX
DB CA
DB 96 

这些是我已经尝试过的算法:1. Plugins -> OllyDump -> Find OEP by Section Hop(Trace into 和 trace over)。我最终得到以下代码(参见屏幕截图“OllyDump”):

0048DF34 CALL unpackme.0048DF39
0048DF39 POP EAX
0048DF3A PUSH EBP
0048DF3B MOV EDI, EAX...
0048DF47 ...JMP SHORT unpackme.0048DF4E

在此处转储不会创建解压文件。2.放置“hr esp-4”。我最终得到以下代码(按 F9 运行几次，参见屏幕截图“HR1” 和“HR2” - 在 EAX 跟随转储之后):

00490B50 POP ESI 
00490B51 POP EBP
00490B52 JMP EDI (here the program was paused)

在 EAX 转储(此时存储值 00400000)之后，我看到一个 MZ header 。但是当我在 ImportRec 中打开文件并将 OEP 定义为 90B52 时，它说在这个 OEP 上找不到任何东西。但是，它列出了所有导入(advapi、comctl、gdi、kernel、oleaut、rpcrt、shell32、shlwapi、user32、wininet、ws2_32、ole32)。当我用 OllyDBg 加载这个解压文件时，它说“模块'解压'在代码之外有入口点(如 PE header 中指定的那样)。也许这个文件是自解压的......”，当我按“确定” , 我停在

00490B50 POP ESI 
00490B51 POP EBP
00490B52 JMP EDI (here the program was paused)

编辑:我将 ImportRec 中 OEP 字段中的 OEP 更改为 0003A586(绝对 - 0043A586，地址为 JMP 指令跳转的位置)，然后用 Olly 打开解压后的文件，看到这个:屏幕截图 HR3 .这是否意味着 0003A586 是 OEP？3. 在“VirtualAlloc”处设置断点只是不起作用，它从未被击中。4. 在“ZwAllocateVirtualMemory”处设置断点会部分起作用，bp 被命中数次(当加载不同的 dll 时)。我在不同的地方停下来，但 OEP 从来都不是很好(但是文件被解压了)。例如，当我从位于 comctl_1(地址 7CA27320)的 EAX 中转储进程时，文件被解压，在 ImportRec 中我看到了 4 个 dll，但 OEP 仍然不正确。它显然不是用户代码，而是一些(可能是恶意的)库。查看屏幕截图“AllocVirtMem”5. 搜索 POPAD，紧随其后的是无条件 JMP，但没有用。 (参见屏幕截图“POPAD1 ”)。首先，很快就没有 JMP，其次，当 bp 在这里设置时，代码停止并在底部显示一条消息“读取时访问冲突”(参见截图 POPAD2 )。6. GetProcAddress bp 也不起作用。

我的问题是:我可以对这个文件应用哪些其他技术？我还没有尝试过什么？我已经在互联网上搜索了所有内容，但找不到任何东西。非常感谢您的帮助!

Answer 1

从你的屏幕截图来看，正确的 OEP 位于地址 0043A586(从这个地址，环顾四周，你会看到 API 调用 GetVersionExA)，你可以在那里设置一个硬件断点，F9/Shift+F9 直到遇到这个断点，然后你在 unpackme 的 OEP。