【調試原理】逆向peid-判定vc

以前一直認爲一個工具只要會用就可以了，可是作爲一名喜歡安全的渣渣來講，會用還遠遠不夠，你還得了解它，欺騙它，改造它，提升它！
上一篇文章講了如何脫掉peid0.94版本的殼
[調試原理]逆向peid_脫殼
這一篇文章對peid開始逆向分析它的原理。開始的時候，從最簡單的分析起：如何判斷程序有vc編譯器編譯的。

逆向工具：ollydbg，ida，winhex
分析對象：peid v0.94(完美脫殼後uppeid)
測試程序：TraceMe.exe

---

打開peid加載TraceMe.exe發現爲Microsoft Visual C++ 6.0編寫，所以直接打開ollydbg，查找字符串Microsoft Visual C，發現字符串

雙機來到這個字符所在的地方

發現跳轉來自的地方，往上尋找，發現這個函數的起始部分
這裏用IDA一樣可以達到相同的效果
直接下斷，然後用peid加載我們的測試程序TraceMe.exe，後F9，程序中斷下來
單步運行，將分析的算法寫在下面的代碼中：

00438C26  |.  53            push ebx
00438C27  |.  55            push ebp
00438C28  |.  56            push esi
00438C29  |.  57            push edi                                 ;  下面就是填充一個數組
00438C2A  |.  B0 72         mov al,0x72                              ;  "r"
00438C2C  |.  884424 2F     mov byte ptr ss:[esp+0x2F],al
00438C30  |.  884424 31     mov byte ptr ss:[esp+0x31],al
00438C34  |.  884424 34     mov byte ptr ss:[esp+0x34],al
00438C38  |.  884424 39     mov byte ptr ss:[esp+0x39],al
00438C3C  |.  884424 3D     mov byte ptr ss:[esp+0x3D],al
00438C40  |.  B0 63         mov al,0x63
00438C42  |.  884424 40     mov byte ptr ss:[esp+0x40],al            ;  "c"
00438C46  |.  884424 41     mov byte ptr ss:[esp+0x41],al
00438C4A  |.  B0 73         mov al,0x73
00438C4C  |.  884424 43     mov byte ptr ss:[esp+0x43],al            ;  "s"
00438C50  |.  884424 44     mov byte ptr ss:[esp+0x44],al
00438C54  |.  B0 6C         mov al,0x6C
00438C56  |.  884424 47     mov byte ptr ss:[esp+0x47],al            ;  "l"
00438C5A  |.  884424 48     mov byte ptr ss:[esp+0x48],al
00438C5E  |.  8BB424 A00400>mov esi,dword ptr ss:[esp+0x4A0]
00438C65  |.  8B46 0C       mov eax,dword ptr ds:[esi+0xC]           ;  "PE"
00438C68  |.  8B56 18       mov edx,dword ptr ds:[esi+0x18]          ;  .text
00438C6B  |.  B1 6D         mov cl,0x6D
00438C6D  |.  884C24 36     mov byte ptr ss:[esp+0x36],cl            ;  "m"
00438C71  |.  884C24 3E     mov byte ptr ss:[esp+0x3E],cl
00438C75  |.  B3 41         mov bl,0x41                              ;  'A'
00438C77  |.  C64424 2C 7B  mov byte ptr ss:[esp+0x2C],0x7B          ;  "g"
00438C7C  |.  C64424 2D 4F  mov byte ptr ss:[esp+0x2D],0x4F
00438C81  |.  C64424 2E 75  mov byte ptr ss:[esp+0x2E],0x75
00438C86  |.  C64424 30 50  mov byte ptr ss:[esp+0x30],0x50
00438C8B  |.  C64424 32 6F  mov byte ptr ss:[esp+0x32],0x6F
00438C90  |.  C64424 33 67  mov byte ptr ss:[esp+0x33],0x67
00438C95  |.  C64424 35 61  mov byte ptr ss:[esp+0x35],0x61
00438C9A  |.  C64424 37 44  mov byte ptr ss:[esp+0x37],0x44
00438C9F  |.  C64424 38 69  mov byte ptr ss:[esp+0x38],0x69
00438CA4  |.  C64424 3A 7D  mov byte ptr ss:[esp+0x3A],0x7D
00438CA9  |.  C64424 3B 5C  mov byte ptr ss:[esp+0x3B],0x5C
00438CAE  |.  885C24 3C     mov byte ptr ss:[esp+0x3C],bl
00438CB2  |.  885C24 3F     mov byte ptr ss:[esp+0x3F],bl
00438CB6  |.  C64424 42 65  mov byte ptr ss:[esp+0x42],0x65
00438CBB  |.  C64424 45 2E  mov byte ptr ss:[esp+0x45],0x2E
00438CC0  |.  C64424 46 64  mov byte ptr ss:[esp+0x46],0x64
00438CC5  |.  C64424 18 4D  mov byte ptr ss:[esp+0x18],0x4D
00438CCA  |.  C64424 19 53  mov byte ptr ss:[esp+0x19],0x53
00438CCF  |.  C64424 1A 43  mov byte ptr ss:[esp+0x1A],0x43
00438CD4  |.  C64424 1B 46  mov byte ptr ss:[esp+0x1B],0x46
00438CD9  |.  0FB740 06     movzx eax,word ptr ds:[eax+0x6]          ;  PE後偏移6位置爲塊的數目
00438CDD  |.  8D0C80        lea ecx,dword ptr ds:[eax+eax*4]         ;  塊數目*5=0x14
00438CE0  |.  8B6CCA E8     mov ebp,dword ptr ds:[edx+ecx*8-0x18]    ;  .text段地址+塊數*40-0x18 = 1000（最後一個段大小）
00438CE4  |.  8D44CA D8     lea eax,dword ptr ds:[edx+ecx*8-0x28]    ;  最後一個段地址（".rsrc"段地址）
00438CE8  |.  8B78 14       mov edi,dword ptr ds:[eax+0x14]          ;  獲取最後一個段（.rsrc）的偏移
00438CEB  |.  8B46 04       mov eax,dword ptr ds:[esi+0x4]           ;  最後一個節末尾偏移
00438CEE  |.  03FD          add edi,ebp
00438CF0  |.  8BAC24 9C0400>mov ebp,dword ptr ss:[esp+0x49C]         ;  數組中某值
00438CF7  |.  8D8F 00390000 lea ecx,dword ptr ds:[edi+0x3900]
00438CFD  |.  3BC1          cmp eax,ecx
00438CFF  |.  73 1A         jnb XupPEiD.00438D1B
00438D01  |.  8B55 20       mov edx,[arg.7]                          ;  獲得程序rva
00438D04  |.  85D2          test edx,edx                             ;  判斷是否爲0
00438D06  |.  74 13         je XupPEiD.00438D1B
00438D08  |.  8B4E 18       mov ecx,dword ptr ds:[esi+0x18]          ;  text段
00438D0B  |.  8B79 14       mov edi,dword ptr ds:[ecx+0x14]          ;  text段在文件中的偏移
00438D0E  |.  0379 10       add edi,dword ptr ds:[ecx+0x10]          ;  偏移+text段在文件中的塊大小=text末尾偏移
00438D11  |.  3BD7          cmp edx,edi
00438D13  |.  0F82 E4020000 jb upPEiD.00438FFD                       ;  跳（確保oep在text段中）（vc的一個特徵）

在上面的代碼中00438D01處我的註釋是獲得程序 RVA

00438D01  |.  8B55 20       mov edx,[arg.7]   ;  獲得程序rva

這個地方並不是直接分析得到的，發現程序每次加載的時候arg.7的地址爲00471018

右鍵數據窗口中跟隨，記錄地址，然後重新加載程序，在00471018地方下 內存訪問斷點，F9運行後加載TraceMe.exe，在下面的地方斷下：

而直接在數據窗口中跟隨，並沒有發現任何頭緒，往上回溯代碼，發現最開始賦給eax的地方在這裏：

數據窗口中跟隨：

熟悉pe結構的看A0130000那個地方是不是在IMAGE_NT_HEADERS部分中IMAGE_OPTIONAL_HEADER中偏移爲16的位置，而這個位置對應的就是address of entrypoint，所以這個地方就應該是程序的RVA(OEP)

那麼這個分析只是分析了部分判定vc的代碼，那麼在之前還會不會又判定呢？我們看看那在判定vc的時候的堆棧

右鍵跟隨，發現回到剛剛賦給rva的代碼空間，前面的代碼段其實就是在將程序的偏移，基址送給這個函數，然後判斷，下面的代碼段主要就是將函數指針數組的下標存進一個數組，然後調用相關函數確認程序類型。

昨晚分析一般加載TraceMe的時候電腦卡死了，瞬間很是生氣，就沒有在進行分析了，有興趣的大牛們可以進行分析指針數組那個地方

分析了一點，其他分析的思路也差不多和這個一樣，大牛勿噴！