autoit 修復

原創 dalixux 2020-07-03 11:44

 原帖見fly寫的http://bbs.pediy.com/showthread.php?t=21910

寫了個程序 自動修復了下。。。。本來想用純C寫的  沒想到fread 在讀取

連在一起的兩個ODH時 只讀了一個   直接導致 逆出來的 校驗和函數 校驗和

計算不正確 所以換SDK了    可能是我fopen時模式沒有選上b 導致的  能檢查

出這個錯誤 真是運氣 雖然浪費了3小時。。。

 

#include <windows.h>

#include <stdio.h>

#include <stdlib.h>

 

#define __in

#define __out

#define __in__out

 

#define DEBUG__XU

 

#define MAX_LENGTH 0x10000

#define SUN_LENGTH 0xc

 

void get_checksun(__in unsigned char *ReadBuffer, __in unsigned int ReadLength, __in__out unsigned int *pCheckSun);

int get_filename(__in char **argv, __in__out char *FileName);

int get_filesize(__in HANDLE hFile, __out unsigned int *pSunLength);

int is_pe(__in PIMAGE_DOS_HEADER peHeader);

int get_overlay(__in PIMAGE_DOS_HEADER peHeader, __out unsigned int *pOverlay);

 

 

int main(int argc, char **argv)

{

char *ReadBuffer;

char FileName[MAX_PATH];

unsigned int ReadLength;

unsigned int SumLength;

unsigned int CheckSun;

unsigned int i;

unsigned int OverlayStart;

HANDLE hFile;

unsigned int retlength;

BOOL xx;

 

if(0 == get_filename(argv, FileName))

{

printf("no file/n");

}

hFile = CreateFile(FileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

if(INVALID_HANDLE_VALUE == hFile)

{

printf("open file error %d /n", GetLastError());

return 0;

}

get_filesize(hFile, &SumLength);

//得到有效數據大小

SumLength -= SUN_LENGTH;

 

//計算校驗值

xx = TRUE;

CheckSun = 1;

ReadBuffer = (char *)malloc(MAX_LENGTH);

i = 0;

SetFilePointer(hFile, 0, NULL, FILE_BEGIN); 

do

{

ReadLength = (i+MAX_LENGTH) <= SumLength ?MAX_LENGTH : (SumLength - i);

i += ReadLength;

ReadFile(hFile, ReadBuffer, ReadLength, &retlength, NULL);

//計算附加數據起始地址

if(xx)

{

if(!get_overlay((PIMAGE_DOS_HEADER)ReadBuffer, &OverlayStart))

{

return 0;

}

xx = FALSE;

}

get_checksun(ReadBuffer, ReadLength, &CheckSun);

}while(i < SumLength);

free(ReadBuffer);

//修正校驗值

SumLength ^= 0xAAAAAAAA;

CheckSun ^= 0xAAAAAAAA;

OverlayStart ^= 0xAAAAAAAA;

#ifdef DEBUG__XU

printf("%X  %X   %X/n", SumLength, OverlayStart, CheckSun);

getchar();

#endif

SetFilePointer(hFile, -SUN_LENGTH,NULL, SEEK_END);

WriteFile(hFile, &SumLength, sizeof(int), &retlength, NULL);

WriteFile(hFile, &OverlayStart, sizeof(int), &retlength, NULL);

WriteFile(hFile, &CheckSun, sizeof(int), &retlength, NULL);

CloseHandle(hFile);

return 1;

}

 

int is_pe(__in PIMAGE_DOS_HEADER peHeader)

{

char *Buffer;

 

Buffer = (char *)peHeader;

if('M' == *Buffer && 'Z' == *(Buffer + 1))

{

Buffer += *(unsigned int *)(Buffer +0x3c);

if('P' == *Buffer && 'E' == *(Buffer + 1))

{

return 1;

}

}

return 0;

}

 

int get_overlay(__in PIMAGE_DOS_HEADER peHeader, __out unsigned int *pOverlay)

{

PIMAGE_SECTION_HEADER peSec;

PIMAGE_NT_HEADERS32 pNtHeader;

 

if(!is_pe(peHeader))

{

printf("file is not PE /n");

return 0;

}

pNtHeader = (PIMAGE_NT_HEADERS32)(peHeader->e_lfanew + (DWORD)peHeader);

peSec = (PIMAGE_SECTION_HEADER)((DWORD)pNtHeader->FileHeader.SizeOfOptionalHeader + (DWORD)&pNtHeader->OptionalHeader);

while(peSec->VirtualAddress)

{

peSec++;

}

peSec--;

*pOverlay = peSec->PointerToRawData + peSec->SizeOfRawData;

#ifdef DEBUG__XU

printf("overlay start: %X/n", *pOverlay);

getchar();

#endif

return 1;

}

 

int get_filesize(__in HANDLE hFile, __out unsigned int *pSunLength)

{

*pSunLength = GetFileSize(hFile, NULL);

#ifdef DEBUG__XU

printf("file size: %X/n", *pSunLength);

getchar();

#endif

return 1; 

}

 

int get_filename(__in char **argv, __in__out char *FileName)

{

if(NULL == *++argv)

{

printf("enter unpacked autoit file: /n");

if(0 == scanf("%s", FileName))

{

return 0;

}

fflush(stdin);

}

else

{

strcpy(FileName, *argv);

}

return 1;

}

 

void get_checksun(__in unsigned char *ReadBuffer, __in unsigned int ReadLength, __in__out unsigned int *pCheckSun)

{

unsigned int i;

unsigned int CheckSun;

unsigned int CurrentSun_1;

unsigned int CurrentSun_2;

unsigned int CurrentSun_sum;

unsigned int Byte;

if(0 == ReadLength)

{

return;

}

CurrentSun_2 = CurrentSun_1 = *pCheckSun;

CurrentSun_2 &= 0xffff;

CurrentSun_1 >>= 0x10;

CurrentSun_sum = CurrentSun_1;

 

for(i = 0; i < ReadLength; i++)

{

CurrentSun_1 = (unsigned int)(*(ReadBuffer + i));

Byte = CurrentSun_1 + CurrentSun_2;

CurrentSun_2 = Byte % 0xfff1;

CurrentSun_1 = CurrentSun_sum + CurrentSun_2;

CurrentSun_sum  = CurrentSun_1 % 0xfff1;

}

 

*pCheckSun = (CurrentSun_sum << 0x10) + CurrentSun_2;

}

 

新版的autoit   搞不定 只能拿N年前的版本意淫了

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

脫殼 !EP(EXE PACK)1.2

0x1 查殼 將程序拖入!Exeinfo PE顯示如下。 程序拖入OD 看到第一行有pushad指令,利用ESP定律,執行一步F8。ESP定律是典型的堆棧平衡,因爲只要保存了所有寄存器的值都是要開始解密操作,等到解密完成後一般

时光菜刀 2020-07-03 01:27:57

再發一個某加密的脫殼視頻

直接上幾張截圖吧,相關apk以及視頻都在附件中有. 看到他官網更新了版本,才決定發出來這個視頻,畢竟大家都是混口飯喫,發佈太早也不好,這篇就是研究而已,網上的軟件基本用這個版本的多一點,更新少。 加固的軟件遇到越來越多,搞這方面工作的應該

guiguzi1110 2020-07-01 14:56:00

MSC阿里比賽第三題詳解

第三題的分析過程 圖/文 聽鬼哥說故事   這道題想起來上次阿里的比賽的ali400.apk,雖然沒參加,不過看到過網上的幾篇分析文章。   第三題主要是殼子方面的問題,脫殼,再分析看看核心代碼在java層還是so層即可。   文章寫的詳

guiguzi1110 2020-07-01 14:55:58

MSC阿里比賽第二題詳解

Ali第二題相關思路 圖/文 聽鬼哥說故事   晚上8點等了會兒,大家都登錄不上,於是帶着羣裏的小夥伴愉快的去打遊戲了,早上醒來發現可以正常登錄了,就開始分析吧。 0x1:開始查看 安裝到手機上測試,知道是通過輸入一個密碼去解開的,所以

guiguzi1110 2020-07-01 14:55:57

手脫 ASPack 2.12 -&gt; Alexey Solodovnikov

   今天在學習脫殼, 下載了幾個軟件都脫殼不成功,沒辦法重新學過。 看了手脫教程,決定整個軟件下來練習一下 就拿系統自帶的“記事本”來練習一下吧, 用ASPack加下殼, 用PEid 查詢, 顯示爲ASPack 2.12 -> Alex

yihai313 2020-07-01 06:07:36

手動脫upx殼,出現invalid data in the file,用overlay 最終版修復成功

overlay 最終版 invalid data in the file 脫殼參考:手動脫upx殼 在脫3.96的殼的時候,脫完運行程序,出現“invalid data in the file”。這時候,下載個overlay 最終版,源文

ewwerpm 2020-06-30 15:28:47

【圖】手動脫yoda's cryptor 1.2

1:查殼 2:OD載入停留在 3:打開內存鏡像alt+M,並下斷點。如圖 4:F9,運行,停了。 5:然後再打開內存鏡像,如圖 6:shift+F9,兩次。 到了OEP。脫殼,如果不能運行,修復。目標是記事本。 脫殼成功。

qingye2008 2020-06-24 23:41:12

手動脫ASPack 2.12 -> Alexey Solodovnikov

photodownloader這軟件是批量下載圖片的。 只脫殼。  00568001 >  60        pushad                              ; od載入在這00568002    E8 0300

qingye2008 2020-06-24 23:41:12

自己的脫殼過程(SoftDefender)

找OEP的部分簡略一點吧,主要是想寫下這個IAT的修復,其實也沒什麼技術含量,因爲技術菜,跟不出如何不讓殼加密IAT,權衡之下只好用這個連自己也鄙視的笨辦法了 Too eagerly want to unpack a powerful p

Hades1996 2020-06-16 08:35:10

總結下學習脫殼的正確資料和方法

假設你已經有以下基礎 1 會C, ASM等兩種編程語言以上 2 懂得windows消息機制和常用API 3 PE格式 4 逆向過自己寫的小程序,做過簡單的CM 學習流程 1 看黑鷹破解教程的脫殼部分,把每一個殼都脫下,多用下最後一次異常和

Hades1996 2020-06-16 08:35:10

2020年 IOS 逆向 反編譯 注入修改遊戲或APP的調用參數新手系列教程——用bfinject脫殼、注入自己的動態framework、cycript的使用

2020年 IOS 逆向 反編譯 注入修改遊戲或APP的調用參數新手系列教程——用bfinject脫殼、注入自己的動態framework、cycript的使用開篇需求&最終效果bfinject對正在運行的APP脫殼打包成.ipa注

w786572258 2020-06-09 01:02:56

[已發表,轉載勘誤]Android upx脫殼

卓桐 2020-03-02 13:41:28

安卓逆向脫殼去廣告

清欢ysy 2020-02-26 01:45:14

常見程序入口點特徵

时光菜刀 2020-02-23 17:27:49

安卓常見脫殼方法

忘不川 2020-02-22 05:07:26