ZProtect加壳程序脱壳笔记

2024年5月7日发(作者：)

ZProtect加壳程序脱壳笔记

之前写了一个ZP的IAT加密方式分析，这里继续接着前面的文章，写一个ZProtect 加壳的程序的完整脱

壳笔记。

目标程序是一个用ZP二次加密的程序，可能是某位大侠的作品，小弟这里只是随手拿来做个演示，有什

么冒犯之处，敬请见谅。 目标程序在附件中。

运行一下程序，程序提示只能运行三次，每次只能运行十分钟，看来这个是要先干掉这个对话框再说了~

写个lpk hook DialogBoxIndirectParam这个api 然后返回232C 即可。膜拜一下 卡卡大大强大的代码。

把这个lpk放在软件目录下就没有注册框了。现在可以OD载入了~

1，到OEP去

上次我的分析里面说了，如何最快到达OEP的方式 就是用ESP定律。

过了pushad以后，下Hr ESP 然后就到了。

查找FF25 发现壳没有处理IAT调用的代码，只是对IAT进行了加密，看来这个应该是1.4.0-1.4.4之间的

某个版本。

2，修复IAT

通过查找FF25 很容易确定IAT的位置。

1.

2.

3.

005A3190 00641378 店铺宝贝.00641378

005A3194 00641798 店铺宝贝.00641798

005A3198 00641B10 店铺宝贝.00641B10

4.

5.

005A319C 00E30000

005A31A0 00E3000E

6.

7.

005A31A4 00641048 店铺宝贝.00641048

005A31A8 006411E0 店铺宝贝.006411E0

复制代码

下面是一部分IAT，可以看出IAT的处理方式有两种。修复的时候也要分两种情况进行修复。

根据我上篇的分析文章的结论，两种加密方式最后是殊途同归的：

push 提取码

调用获取函数序号的call

按照隐藏的IAT基址+序号的方式来寻址。

下面看看两种不同方式的提取码和call的调用方式。

方式一00406A54 - FF25 64325A00 jmp dword ptr ds:[5A3264] ds:[005A3264]=00E30142

1.

2.

00E30142 50 push eax

00E30143 60 pushad

3.

4.

5.

00E30144 68 7695B4AD push ADB49576

00E30149 E8 310DE7FF call 00CA0E7F

00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874]

6. 00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0

7. 00CA0E88 74 57 je short 00CA0EE1

8. 00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ; kCount

9. 00CA0E90 8BC8 mov ecx,eax

10. 00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640]

11. 00CA0E98 81F9 88130000 cmp ecx,1388

12. 00CA0E9E 76 41 jbe short 00CA0EE1

13. 00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644]

14. 00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax

15. 00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ; Thread

16. 00CA0EB1 833D 944ECA00 0>cmp dword ptr ds:[CA4E94],3

17. 00CA0EB8 7C 08 jl short 00CA0EC2

18. 00CA0EBA 6A 00 push 0

19. 00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ; ocess

20. 00CA0EC2 803D B848CA00 0>cmp byte ptr ds:[CA48B8],0

21. 00CA0EC9 74 08 je short 00CA0ED3

22. 00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94]

23. 00CA0ED1 EB 07 jmp short 00CA0EDA

24. 00CA0ED3 8325 944ECA00 0>and dword ptr ds:[CA4E94],0

25. 00CA0EDA C605 B848CA00 0>mov byte ptr ds:[CA48B8],1

26. 00CA0EE1 56 push esi

27. 00CA0EE2 57 push edi

28. 00CA0EE3 FF7424 0C push dword ptr ss:[esp+C]

29. 00CA0EE7 FF15 5C46CA00 call dword ptr ds:[CA465C]

30. 00CA0EED 8BF8 mov edi,eax

31. 00CA0EEF BE 644ECA00 mov esi,0CA4E64

32. 00CA0EF4 E8 6941FFFF call 00C95062

33. 00CA0EF9 8B00 mov eax,dword ptr ds:[eax]

34. 00CA0EFB 5F pop edi

35. 00CA0EFC 894424 2C mov dword ptr ss:[esp+2C],eax

36. 00CA0F00 5E pop esi

37. 00CA0F01 C2 0400 retn 4

38. 00E3014E 61 popad