一、概論
殼出於程序作者想對程序資源壓縮、注冊保護的目的,把殼分為壓縮殼和加密殼兩種
UPX ASPCAK TELOCK PELITE NSPACK ...
ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...
顧名思義,壓縮殼只是為了減小程序體積對資源進行壓縮,加密殼是程序輸入表等等進行加密保護。當然加密殼的保護能力要強得多!
二、常見脫殼方法
預備知識
1.PUSHAD (壓棧) 代表程序的入口點,
2.POPAD (出棧)代表程序的出口點,與PUSHAD想對應,一般找到這個OEP就在附近
3.OEP:程序的入口點,軟件加殼就是隱藏了OEP(或者用了假的OEP/FOEP),只要我們找到程序真正的OEP,就可以立刻脫殼。
方法一:單步跟蹤法
1.用OD載入,點“不分析代碼!”
2.單步向下跟蹤F8,實現向下的跳。也就是說向上的跳不讓其實現!(通過F4)
3.遇到程序往回跳的(包括循環),我們在下一句代碼處按F4(或者右健單擊代碼,選擇斷點——>運行到所選)
4.綠色線條表示跳轉沒實現,不用理會,紅色線條表示跳轉已經實現!
5.如果剛載入程序,在附近就有一個CALL的,我們就F7跟進去,不然程序很容易跑飛,這樣很快就能到程序的OEP
6.在跟蹤的時候,如果運行到某個CALL程序就運行的,就在這個CALL中F7進入
7.一般有很大的跳轉(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會到程序的OEP。
Btw:在有些殼無法向下跟蹤的時候,我們可以在附近找到沒有實現的大跳轉,右鍵-->“跟隨”,然后F2下斷,Shift+F9運行停在“跟隨”的位置,再取消斷點,繼續F8單步跟蹤。一般情況下可以輕松到達OEP!
方法二:ESP定律法
ESP定理脫殼(ESP在OD的寄存器中,我們只要在命令行下ESP的硬件訪問斷點,就會一下來到程序的OEP了!)
1.開始就點F8,注意觀察OD右上角的寄存器中ESP有沒突現(變成紅色)。(這只是一般情況下,更確切的說我們選擇的ESP值是關鍵句之后的第一個ESP值)
2.在命令行下:dd XXXXXXXX(指在當前代碼中的ESP地址,或者是hr XXXXXXXX),按回車!
3.選中下斷的地址,斷點--->硬件訪--->WORD斷點。
4.按一下F9運行程序,直接來到了跳轉處,按下F8,到達程序OEP。
方法三:內存鏡像法
1:用OD打開軟件!
2:點擊選項——調試選項——異常,把里面的忽略全部√上!CTRL+F2重載下程序!
3:按ALT+M,打開內存鏡象,找到程序的第一個.rsrc.按F2下斷點,然后按SHIFT+F9運行到斷點,接着再按ALT+M,打開內存鏡象,找到程序的第一個.rsrc.上面的.CODE(也就是00401000處),按F2下斷點!然后按SHIFT+F9(或者是在沒異常情況下按F9),直接到達程序OEP!
方法四:一步到達OEP
1.開始按Ctrl+F,輸入:popad(只適合少數殼,包括UPX,ASPACK殼),然后按下F2,F9運行到此處
2.來到大跳轉處,點下F8,到達OEP!
方法五:最后一次異常法
1:用OD打開軟件
2:點擊選項——調試選項——異常,把里面的√全部去掉!CTRL+F2重載下程序
3:一開始程序就是一個跳轉,在這里我們按SHIFT+F9,直到程序運行,記下從開始按SHIFT+F9到程序運行的次數m!
4:CTRL+F2重載程序,按SHIFT+F9(這次按的次數為程序運行的次數m-1次)
5:在OD的右下角我們看見有一個"SE 句柄",這時我們按CTRL+G,輸入SE 句柄前的地址!
6:按F2下斷點!然后按SHIFT+F9來到斷點處!
7:去掉斷點,按F8慢慢向下走!
8:到達程序的OEP!
方法六:模擬跟蹤法
1:先試運行,跟蹤一下程序,看有沒有SEH暗樁之類
2:ALT+M打開內存鏡像,找到(包含=SFX,imports,relocations)
內存鏡像,項目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check 00400000
區段=.aspack
包含=SFX,imports,relocations
類型=Imag 01001002
訪問=R
初始訪問=RWE
3:地址為0054B000,如是我們在命令行輸入tc eip<0054B000,回車,正在跟蹤ing。。
Btw:大家在使用這個方法的時候,要理解他是要在怎么樣的情況下才可以使用
方法七:“SFX”法
1:設置OD,忽略所有異常,也就是說異常選項卡里面都打上勾
2:切換到SFX選項卡,選擇“字節模式跟蹤實際入口(速度非常慢)”,確定。
3:重載程序(如果跳出是否“壓縮代碼?”選擇“否”,OD直接到達OEP)
如何分辨加密殼和壓縮殼,通用特點,Od載入時有入口警告或詢問是壓縮程序嗎?普通壓縮殼Od調試時候沒有異常,加密殼全部有反跟蹤代碼,會有許多SEH陷阱使OD調試時產生異常。
找OEP的一般思路如下:
先看殼是加密殼還是壓縮殼,壓縮殼相對來說容易些,一般是沒有異常。
外殼解壓代碼起始點如果是
pushfd
pushad
跟蹤時如果有發現
popad
popfd
對應
有些殼只有
pushad
和
popad
相對應
附近還有
retn
jmp
等指令,發生跨斷跳躍一般就到了OEP處。
當然也有其他的,如 je OEP等等,一般都是段之間的大跳轉,OD的反匯編窗口里都是同一個段的內容,所以更好區別是否是段間跳轉。
找Oep時注意兩點。
1、單步往前走,不要回頭。
2、觀察。注意poshad、poshfd,popad、popfd等,和外殼代碼處對應,注意地址發生大的變化。單步跟蹤什么時候F8走,F7,F4步過?
這里我說說關於F8(Step Over)和F7(Step in)的一般方法,粗跟的時候一般都是常用F8走,但是有些call是變形的Jmp,此時就需要F7代過,區別是否是變形Jmp的一個簡單方法是比較call的目標地址和當前地址,如果兩者離的很近,一般就是變形Jmp了,用F7走。對於Call的距離很遠,可以放心用F8步過,如果你再用F7步過,只是浪費時間而已。F8步過對壓縮殼用的很多,F7步過加密殼用的很多,如果用F8一不小心就跑飛(程序運行),跟蹤失敗。
加密殼找Oep
對於加密殼,我的方法一般是用OD載入,鈎掉所有異常(不忽略任何異常,除了忽略在KERNEL32 中的內存訪問異常打勾。有時由於異常過多可以適當忽略一些異常),運行,數着用了多少次Shift+F9程序運行,顯然最后一次異常后,程序會從殼跳到OEP開始執行,這就是我們尋找OEP的一個關鍵,如果程序 Shift+F9后直接退出,很明顯加密殼檢測調試器,最簡單的應付方法就是用OD插件隱藏OD。
單步異常是防止我們一步步跟蹤程序,即F8,F7,F4等,Int3中斷是檢測調試器用的,僅在Win9x系統中有效,2000/XP就會出現斷點異常,其它的異常主要是干擾調試。這一系列的異常雖然干擾我們調試,但也給我們指明了一條通路,就是Shift+F9略過所有異常,然后找到最后一處異常,再它的恢復異常處下斷點,跟蹤到脫殼入口點。
確定從所有Seh異常中走出來,如果前面有大量循環,逐段解壓。
****************************************************************************************
大家先細細品位下上面的“理論”!如果你弄懂了,那你應該高興下了。。
****************************************************************************************
好了,切入正題。。。。
OD載入,因為我一開始就不忽略所有的異常,所以一載入就提示有異常,我們shit+F9,點“否”,停在入口了。(不忽略所有的異常,請大家檢查一下自己的OD)
00401000 PEncryp> FC cld //停在這里了。
00401001 FC cld
00401002 FC cld
00401003 90 nop
00401004 - E9 BDBA0000 jmp PEncrypt.0040CAC6
00401009 - E3 D5 jecxz short PEncrypt.00400FE0
下面就開始使用最后一次異常法了。。。
我們一直狂按shit+F9,心里要數着按了多少次,程序就運行了:)
我這里按了3次
好,我們現在重新載入程序,到了入口之后,我們再次“狂”按shit+F9,多少次?2次(3-1=2)
0040CCD2 4B dec ebx //停在這里了
0040CCD3 6F outs dx,dword ptr es:[edi]
0040CCD4 6368 69 arpl word ptr ds:[eax+69],bp
0040CCD7 8B4424 04 mov eax,dword ptr ss:[esp+4]
好了,我們先就停在這里
看看轉存器窗口
0012FFBC 0012FFE0 指針到下一個 SEH 記錄
0012FFC0 0040CCD7 SE 句柄 //Ctrl+G,到0040CCD7
0012FFC4 77E614C7 返回到 kernel32.77E614C7
0012FFC8 00000000
0012FFCC 00000000
0012FFD0 7FFDF000
F2下斷,shit+F9運行,停到0040CCD7,取消斷點,單步F8
0040CCD7 8B4424 04 mov eax,dword ptr ss:[esp+4] //停到這里了
0040CCDB 8B00 mov eax,dword ptr ds:[eax]
0040CCDD 3D 04000080 cmp eax,80000004
0040CCE2 74 06 je short PEncrypt.0040CCEA //跳走
0040CCEA /EB 02 jmp short PEncrypt.0040CCEE//跳到這里,這里又再次跳走
0040CCEC |49 dec ecx
0040CCEE 60 pushad //跳到這里了,關鍵提示 ,繼續F8
0040CCEF 9C pushfd //關鍵提示
0040CCF0 BE 00104000 mov esi,PEncrypt.<ModuleEntryPoin>
0040CCF5 8BFE mov edi,esi
0040CCF7 B9 00100000 mov ecx,1000
0040CCFC BB 2B11D2BB mov ebx,BBD2112B
0040CD01 AD lods dword ptr ds:[esi]
0040CD02 33C3 xor eax,ebx
0040CD04 AB stos dword ptr es:[edi]
0040CD05 ^ E2 FA loopd short PEncrypt.0040CD01 //要回跳了
0040CD07 9D popfd //在這里F4,繼續F8
0040CD08 61 popad
0040CD09 EB 02 jmp short PEncrypt.0040CD0D //跳走
0040CD0D 60 pushad //跳到這里了,關鍵提示 ,繼續F8
0040CD0E 9C pushfd //關鍵提示
0040CD0F BE 00504000 mov esi,PEncrypt.00405000
0040CD14 8BFE mov edi,esi
0040CD16 B9 00040000 mov ecx,400
0040CD1B BB 2B11D2BB mov ebx,BBD2112B
0040CD20 AD lods dword ptr ds:[esi]
0040CD21 33C3 xor eax,ebx
0040CD23 AB stos dword ptr es:[edi]
0040CD24 ^ E2 FA loopd short PEncrypt.0040CD20 //要回跳了
0040CD26 9D popfd //在這里F4,繼續F8,關鍵提示
0040CD27 61 popad //關鍵提示
0040CD28 BD CC104000 mov ebp,PEncrypt.004010CC //看到這里了沒?004010CC
0040CD2D FFE5 jmp ebp //跳到OEP
。。。。。。。
004010CC 55 push ebp ; PEncrypt.004010CC //OEP,DUMP
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
脫殼后發現程序不能運行,用Imprec修復引入函數表,在Oep處填10cc,點IT自動搜索,然后點獲輸入信息,看到輸入表全部有效,點修復抓取文件按鈕,選擇Dump的文件,修復它,運行后仍然不能運行。那我們還有Lordpe重建PE的功能!