CodeDoctor

 CodeDoctor 0.90 - OllyDbg Plugin by hnedka (11.11.2009)
---------------------------------
安裝使用:
復(fù)制 CodeDoctor.dll 和 CodeDoctor.ini 到 OllyDbg/Plugins文件夾內(nèi)

________________________________________________________________________________

歷史:
0.90 (11.11.2009) - 公開(kāi)發(fā)布

________________________________________________________________________________
*********************以下的說(shuō)明是引用某大大的翻譯，由于復(fù)制的時(shí)候忘記名字，在此表示歉意及感謝***********************
功能：
1.反混淆
在反匯編窗口中選擇并執(zhí)行這條指令。它會(huì)嘗試將垃圾指令中轉(zhuǎn)換成為清晰的指令。

舉例：

原始指令：
00874372 57 PUSH EDI
00874373 BF 352AAF6A MOV EDI,6AAF2A35
00874378 81E7 0D152A41 AND EDI,412A150D
0087437E 81F7 01002A40 XOR EDI,402A0001
00874384 01FB ADD EBX,EDI
00874386 5F POP EDI

反混淆后：
00874372 83C3 04 ADD EBX,4

2.反混淆-單步
這條指令的原理同上一條相似，不過(guò)它一次只分析一條指令。

3.將nop置后

將這種形式的代碼：
00874396 50 PUSH EAX
00874397 90 NOP
00874398 90 NOP
00874399 52 PUSH EDX
0087439A BA 3F976B00 MOV EDX,somesoft.006B973F
0087439F 90 NOP
008743A0 90 NOP
008743A1 90 NOP

轉(zhuǎn)換為：
00874396 50 PUSH EAX
00874397 52 PUSH EDX
00874398 BA 3F976B00 MOV EDX,somesoft.006B973F
0087439D 90 NOP
0087439E 90 NOP
0087439F 90 NOP
008743A0 90 NOP
008743A1 90 NOP

限制：它會(huì)跳出所有跳轉(zhuǎn)指令和call指令

4.取消/重新執(zhí)行

取消或再次執(zhí)行前一條指令

5.檢索跳轉(zhuǎn)功能

它會(huì)靜態(tài)分析指令并且跟蹤所有的跳轉(zhuǎn)指令。在程序不停地跳來(lái)跳去的場(chǎng)合下，這個(gè)功能是非常有用的。當(dāng)它遇到不能跟蹤的指令時(shí)，它會(huì)停止分析，將所有已經(jīng)分析完畢的指令拷貝到一塊指定的內(nèi)存中去。

在設(shè)定中設(shè)置這些參數(shù)：
步過(guò)所有的call-如果設(shè)置的話，它會(huì)步過(guò)所有的call。否則它會(huì)跟蹤它們。
步過(guò)jcc-dtto（？）
反混淆-在遇到Jcc，RET,JMP，CALL指令時(shí)，它會(huì)反混淆指令。在程序有多分支的時(shí)候非常有用。

舉例：

轉(zhuǎn)換前：
00874389 /EB 05 JMP SHORT somesoft.00874390
0087438B |43 INC EBX
0087438C |41 INC ECX
0087438D |42 INC EDX
0087438E |EB 07 JMP SHORT somesoft.00874397
00874390 \B8 07000000 MOV EAX,7
00874395 ^ EB F4 JMP SHORT somesoft.0087438B
00874397 C3 RET

轉(zhuǎn)換后：
003B0000 B8 07000000 MOV EAX,7
003B0005 43 INC EBX
003B0006 41 INC ECX
003B0007 42 INC EDX
003B0008 C3 RET


6.重建資源和重排列

此功能在脫殼時(shí)有一些限制。它從磁盤(pán)上打開(kāi)被調(diào)試的文件。然后找到所有的資源并將它們重建到一塊區(qū)段（當(dāng)前它將資源重建到exe中的原始區(qū)段中）。然后它重新排列文件，以一個(gè)新的名字來(lái)保存文件。

什么時(shí)候此功能是有用的？舉例來(lái)說(shuō)，在脫apack/asprotect或者其他一些殼的事后。這些殼會(huì)從原始區(qū)段中竊取一些資源，并且將它們放置到自己的區(qū)段中。由此會(huì)增加文件的大小，并且防止你去除殼的區(qū)段。同時(shí)它也防止了通過(guò)一些資源黑客軟件看到這些資源。

我確信會(huì)有比這個(gè)插件更好的工具，不過(guò)將它整合進(jìn)來(lái)有時(shí)候是十分方便的。


7.AsProctect脫殼
此功能可以脫那些被asprotect加上殼的文件并且修復(fù)它們，導(dǎo)出asprotect.dll，將信息輸出到txt文件中去。當(dāng)此功能失敗的時(shí)候，請(qǐng)?zhí)峤荒繕?biāo)文件給我。

限制：
1.無(wú)法找到和修復(fù)SDK 1.x版本的函數(shù)（你需要手動(dòng)尋找它們）
此處有兩種情況。一種是在OEP之前被調(diào)用的函數(shù)。它們進(jìn)行一系列的初始化功能。如果它們不被執(zhí)行，程序可能會(huì)提示失效。找到它們并執(zhí)行它們:-)
第二種是在OEP之后執(zhí)行的，通過(guò)特殊的參數(shù)隱藏在GetprocAddress之后，這些函數(shù)AsProtect將它們重新轉(zhuǎn)向到了自己的代碼中。你需要手動(dòng)分析這些代碼。

2.在2.30-2.51中，有兩種方式的竊取方式-一種為PolyOEP方式，還有一種是虛擬化。此功能只能修復(fù)前者。

3.不能找到CRC校驗(yàn)或者外殼檢查。不過(guò)此功能可以防止一種類型的外殼檢查：在跳轉(zhuǎn)到API的指令中尋找E8。

4.它不會(huì)解密被加密的部分或者區(qū)段。

5.它不會(huì)找到序列號(hào)，修補(bǔ)試用版等等。

6.如果有附加數(shù)據(jù)的話，在脫殼后可能會(huì)破損。

Bugs：
不能工作在在一些特定的1.10版本下，有時(shí)間我會(huì)修復(fù)的。

注意：
在脫被Asprotect 2.X保護(hù)的文件時(shí)，你可能需要aspr_ide.dll。從aspack.com上獲得它們，如果需要的話，進(jìn)行修改。
××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
文件說(shuō)明：
CodeDoctor.dll 主程序