处理ASProtect的Advanced Import Protect的一些想法和过程(1)

被Advanced Import Protect方法处理后，原来的Call [********]和JMP [********]变成call 01ba0000（在别的机器上可能不是01ba0000），面对这个困难，我也拜读过不少大牛的文章，但始终有点迷糊，个中困难不再说了；试想一下，既然是修改了调用API的代码，那么在虚拟内存中还是会走进系统DLL中的，那么在进入01ba0000中后，对几个系统DLL比如kernel32和user32下断的话还是会停下的，第一次停下的地方：
7C8099C0 > 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]

7C8099C6 8B40 20 MOV EAX,DWORD PTR DS:[EAX+20]

7C8099C9 C3 RETN

这个从各个寄存器里看到这是对GetCurrentProcessId函数的调用，不是我想要的。

第二次停下：

7C801D7B > 8BFF MOV EDI,EDI

7C801D7D 55 PUSH EBP

从堆栈和寄存器看到是调用LoadLibraryA得到kernel32的基址，对于正常的程序一般不会执行这个函数的，也不是我想要的。用ALT+F9返回到调用的地方。

第三次停下：

00AFCAD2 8B78 20 MOV EDI,DWORD PTR DS:[EAX+20]

00AFCAD5 03FB ADD EDI,EBX

可以看到这是VM的领空，我在这里从寄存器和堆栈看到GetCommandLineA函数字符串，感觉这个像是正常程序调用的函数，然后单步走。

没几步来到一个循环，通过单步走我发现这个循环的作用：从刚才调用LoadLibraryA得到kernel32的基址，到现在用到这个基址，以及各个函数 的字符串出现，这个循环是通过kernel32的导出表来遍历每个函数的字符串并且和“GetCommandLineA”这个字符串进行比较，一直到相同才会走出循环；

这是比较字符串的代码：

00ACC2E1 F3:A6 REPE CMPS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

ESI指向“GetCommandLineA”字符串，EDI指向kernel32中的其他遍历的字符串，在这句上下条件日志断点SHIFT+F4 条件设置为STRING[EDI]=="GetCommandLineA"，然后F9运行停在这里，这时就会比较结果相同了，到此，函数是知道了，但是这个函数是从哪个call 01ba0000处真正对应的呢？正是我们进入VM时的那个call 01ba0000吗？对于这个我感觉应该是吧，如果不放心的话，可以在从call 01ba0000进入到VM后对程序的CODE段下断点，看壳代码会不会偷偷执行完一个函数调用又从另一个call
01ba0000进入VM从而欺骗我。。。

从两个字符串比较相同后再单步跟踪一下，不知道怎么工拐八拐就到得到的GetCommandLineA的地址7C 81 2F BD，但是我始终找不到ret call jmp 直接或者间接到达这个地方，于是进入看一下什么代码：

7C812FBD > A1 F455887C MOV EAX,DWORD PTR DS:[7C8855F4]

7C812FC2 C3 RETN 从这里就能返回到VM或者CODE段，我猜想这么少的代码，被偷取到VM中也不是什么难事啊！于是对7C812FBD下读取硬断，来到这里：

00AE426B 8A01 MOV AL,BYTE PTR DS:[ECX]

00AE426D 41 INC ECX ; kernel32.GetCommandLineA 这里的读取没有看到保存

下面也会读取：

00AE441A 8A06 MOV AL,BYTE PTR DS:[ESI] 此时的ESI和EDI都是kernel32.GetCommandLineA的开始处，

00AE441C 8D7E 01 LEA EDI,DWORD PTR DS:[ESI+1]

00AE441F 8A1F MOV BL,BYTE PTR DS:[EDI]

00AE4421 881C24 MOV BYTE PTR SS:[ESP],BL

这是明显的保存了，只是不在VM中，而是在堆栈中，得到第一个BYTE的数据会与EB，E9比较，在代码中找到一个EB和E9看一下，是JMP的16进制码，再往下走。。。来到这里也是取第一个BYTE：

00AE43FC 8A08 MOV CL,BYTE PTR DS:[EAX]

00AE43FE 80F9 E8 CMP CL,0E8

和E8比较，E8是call的16进制码。。。再走来到：

00AF4E96 66:813F FF25 CMP WORD PTR DS:[EDI],25FF

前两个BYTE和FF25比较，FF25是call [*****]的16进制，到这里算是明白了，都是在比较是不是满足条件的。。。。。

最后算保存了一个DD和一个BYTE：

00AC266B F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]保存在B44340

00AC2672 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

最后总算是比较完了，于是到这：

00AEBE0C A1 B02BB000 MOV EAX,DWORD PTR DS:[B02BB0]

00AEBE11 8B40 2C MOV EAX,DWORD PTR DS:[EAX+2C]

00AEBE14 FFD0 CALL EAX 调用VirtualAlloc申请一块内存，保存从kernel32.GetCommandLineA函数处抽取的代码。。。。

接下来的流程是壳代码（VM中）修改原来的call 01ba0000成为call 【刚才VirtualAlloc】得到的内存，再从VM执行到CODE的call 【】处，从call 【】处走到申请的内存中，这时申请的内存中的很少的数据就是偷的GetCommandLineA的代码，执行完又回到CODE接着往下执行。。。。。。。。。。。其他的函数可能也是这样偷的代码。。。

现在说一下第二个被抽取的函数GetStartupInfoA，这个偷的和第一个不同，这一个偷到第一个call ***********处，在保存到VM中时又用了一点代码变形，把call 这句修改为

push &&&&&&&&(call 执行伴随压栈下一句代码地址,&&&&&&&&就是call这句的下一句） push ********** ret 总之偷的不多。。。。

再面临一个问题：壳会不会偷取call 01ba0000的下几行代码呢？现在假如偷取了，过程会这样，肯定会是先从VM进入系统DLL的领空，对于回来嘛，如果偷取了的话，被偷取的代码会在VM里面，那么会从系统DLL中回到VM中，如果没有偷取的话，会从系统DLL的领空直接回到CODE段执行，为人验证到底是哪种情况，我对CODE段和VM中下内存断点，实施一下看。。。

00AE426B 8A01 MOV AL,BYTE PTR DS:[ECX]

00AE426D 41 INC ECX

在这里时，ECX是保存函数的地址，有点像是对CC断点检查的呢？