工具:

OD(Ollydump插件),PEID,LordPE,ImportReconstructor


脱壳源文件:恶意代码分析实战第一章课后实验01-02.exe

先使用PEID查壳:

可以发现是UPX的壳

UPX的壳有几种很方便的脱壳方法


脱壳的基本思路:找到OEP,恢复IAT,DUMP内存


方法一:pushad+popad

UPX的壳的标志性特征是:在外壳的第一条指令是pushad

pushad所对应的就会有popad

所以我们在OD中使用查找功能,查找popad(Ctrl+F)

第一个找到了这个

这个不是我们需要的(两个方式来看:1.popad和pushad是相互对应的,这个popad的上方已经有了对应的pushad;2.壳的第一条命令地址是0x405410,要找到的popad的地址肯定是大于这个的)

第二个找到了我们的需要的

看到0x405585这个popad,下面有个jmp 00401190(这里就是我们的OEP)

这个地址满足了一个long jump,且底下都是00,说明壳的解密部分已经完成,已经可以跳转到源程序执行


停留在OEP处,然后使用工具Ollydump

注意:这里要选择勾选:重建输入表(IAT),且选择方式2(方式1脱壳下来的文件是没有IAT的,运行不起来)

点击脱壳,另存为,再用PEID查壳

说明脱壳完成


方法二:F8单步法

这种方法的理论依据是:壳的作用是对源程序进行了某种形式的打包,或是加密,或是压缩,但是有加壳,就一定会有脱壳。程序中一定需要有自解密,虽然我们不知道程序是怎么加密解密的,但是,在内存之中一定会有某个位置会成功的解开壳来执行我们的源程序。只要在那里,我们停下来进行IAT转储以及dump内存等,就可以成功脱壳。
(这种思路只能针对非常非常简单的壳了,现在的大多流行壳都是壳里有肉,肉里有壳的,这种理解思路太局限太狭窄了)


在具体的脱壳技术实现上,表现在:我们可以顺序执行壳的代码,直到找到我们的OEP

顺序执行不是说一条一条执行,而是在一直往下走,当遇到循环时跳过,继续往下执行(这就跳过了很多次的重复操作)

举例如下:

这里要往405420跳,所以是个明显的循环,我们到00405433按下F4,跳过这个循环,继续往下走,知道找到OEP


方法三:ESP断点法(堆栈平衡法)

适用于一些古老的壳,这些壳会用pushad保存寄存器环境,在解密完毕之后跳往OEP之前,会使用popad指令恢复环境

F8,单步一次

选择在数据窗口跟随

选中前四个字节,下硬件访问的断点

然后F9执行,就到了这儿

注意停在了哪里:上一条指令正好是popad!

说明利用的是堆栈平衡原理,在pushad的时候,是保存了寄存器环境,当执行完popad,正好恢复了寄存器环境,这时候正好满足了堆栈平衡~~~

底下就看到了OEP