工具:
OD(Ollydump插件),PEID,LordPE,ImportReconstructor
脱壳源文件:恶意代码分析实战第一章课后实验01-02.exe
先使用PEID查壳:
可以发现是UPX的壳
UPX的壳有几种很方便的脱壳方法
脱壳的基本思路:找到OEP,恢复IAT,DUMP内存
方法一:pushad+popad
UPX的壳的标志性特征是:在外壳的第一条指令是pushad
pushad所对应的就会有popad
所以我们在OD中使用查找功能,查找popad(Ctrl+F)
第一个找到了这个
这个不是我们需要的(两个方式来看:1.popad和pushad是相互对应的,这个popad的上方已经有了对应的pushad;2.壳的第一条命令地址是0x405410,要找到的popad的地址肯定是大于这个的)
第二个找到了我们的需要的
看到0x405585这个popad,下面有个jmp 00401190(这里就是我们的OEP)
这个地址满足了一个long jump,且底下都是00,说明壳的解密部分已经完成,已经可以跳转到源程序执行
停留在OEP处,然后使用工具Ollydump
注意:这里要选择勾选:重建输入表(IAT),且选择方式2(方式1脱壳下来的文件是没有IAT的,运行不起来)
点击脱壳,另存为,再用PEID查壳
说明脱壳完成
方法二:F8单步法
这种方法的理论依据是:壳的作用是对源程序进行了某种形式的打包,或是加密,或是压缩,但是有加壳,就一定会有脱壳。程序中一定需要有自解密,虽然我们不知道程序是怎么加密解密的,但是,在内存之中一定会有某个位置会成功的解开壳来执行我们的源程序。只要在那里,我们停下来进行IAT转储以及dump内存等,就可以成功脱壳。
(这种思路只能针对非常非常简单的壳了,现在的大多流行壳都是壳里有肉,肉里有壳的,这种理解思路太局限太狭窄了)
在具体的脱壳技术实现上,表现在:我们可以顺序执行壳的代码,直到找到我们的OEP
顺序执行不是说一条一条执行,而是在一直往下走,当遇到循环时跳过,继续往下执行(这就跳过了很多次的重复操作)
举例如下:
这里要往405420跳,所以是个明显的循环,我们到00405433按下F4,跳过这个循环,继续往下走,知道找到OEP
方法三:ESP断点法(堆栈平衡法)
适用于一些古老的壳,这些壳会用pushad保存寄存器环境,在解密完毕之后跳往OEP之前,会使用popad指令恢复环境
F8,单步一次
选择在数据窗口跟随
选中前四个字节,下硬件访问的断点
然后F9执行,就到了这儿
注意停在了哪里:上一条指令正好是popad!
说明利用的是堆栈平衡原理,在pushad的时候,是保存了寄存器环境,当执行完popad,正好恢复了寄存器环境,这时候正好满足了堆栈平衡~~~
底下就看到了OEP