脱壳_00.exe

用scanwithPEid扫描,看是否upx加过壳:

 然后用OD打开此加壳文件,用upx脱壳的原理就是可以把壳代码想象成一个完整的函数,在刚进入,保存寄存器环境(PUSHAD)的时候下一个断点,然后单步执行,:

由于不清楚447000是个什么东西,因此可以查看内存,上面的M按钮:

是upx1的首地址。按c返回到汇编代码区域。push完EDI之后看寄存器EDI的值,401000,进入内存看一眼是什么意思:

 

 

401000是区段UPX0的首地址

然后这个时候可以去数据窗口跟随一下edi,看看edi里面存放了什么,原本是代码段的edi,现在什么都没有:

然后跟随esi看看:

edi是目的操作数,而esi是源操作数,因而他有可能会将esi里面的内容取出来赋值到edi里面

这里这个循环可以理解成一个小的函数或者功能,因为不清楚具体在做什么,猜测:

 

JNZ之后还在里面,所以这一定是一个具体的有效的功能在循环之后,edi本来是空的,逐渐被赋了值,因此edi这里可能会是个函数。

赋值完成之后反汇编查看到底是不是代码:

确实是代码。CTRL+G查看一下esi:

esi最初是从04这个位置开始赋值的:

然后继续单步执行,盯到输入和输出停下来,遇到什么加法之类的,直接过。

将获取到的00存入edi里

到这个地方的时候并没有从esi中取出一个字节放入到edi代码段中,而是在代码段中取出了一个字节往下继续做了一个重复的复制,一共有ecx保存的个数个nop:

 

每次取出一个字节之后拿去填充,然后增加EDI,EBX是很关键的,与下面的跳转JNZ有关,至于使用EBX的原因,应该与解压缩的算法有关

 

循环几次之后会发现:如果没有重复的,就从UPX1里面取,如果有重复的,就从UPX0里面去取,然后再填到对应的UPX0区段的位置

OEP一开始的地方其实是吧edi和esi进行了初始化,然后用esi从UPX1这个区段里面拿出东西,通过这个算法将其解压缩到UPX0这个区段里面。

1.初始化esi edi

2.解压缩代码

3.修复代码

之后右键-长型-地址

当不确定这个数值代表什么意思的时候,右键-Hex-第一个选项

可以看到,这里面都是函数名,在函数名的最后会出现PE信息!:

1.初始化

2.解压缩代码和数据

   2.1修复代码

3.修复重定位(修复之后入口都是400000,所以可以不需要修复重定位了)

4.填充IAT

     标准过程:dll_name=import[xx]

                       base=LoadLibraryA(dll name)

                       fun_name=int[xx]

                       GetProcAddress(base,fun)

                        iat【xx】=addr

上面做成一个循环,尽可能的还原这个过程

(在mov eax,dword【edi】那里就可以挺住,去查看edi寄存器了

前两个看起来都不像函数名,当遇到不知道是什么东西的时候,就右键-地址进去看看

01是函数开始的标志位,00是函数结束的标志位:

EDI=IATDataBase

dllOffset=【IATDataBase】

iatOffset=【IATDataBase+0x4】(IATDataBase前四个字节的偏移)

整个黄色的部分都是在填充IAT:

由于跟进去之后不知道40021F是做什么的,就跳转到首地址:400210处查看一下:

 

E0代表区段的属性,21F是E0。

这三条指令,修改了区段属性:

5.修正PE头中区段的属性

6.平衡堆栈

7.跳转到OEP

 

 

 

 

 

 

 

脱壳 步骤 脱壳步骤 壳的概念: 所谓“壳”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。 壳的作用: 1.保护程序不被非法修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 壳和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测壳的软件 PEID v0.92 这个软件可以检测出 450种壳 新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到壳的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的壳 下面进行 步骤2 脱壳 对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳脱壳成功的标志 脱壳后的文件正常运行,功能没有损耗。 还有一般脱壳后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。 关于脱壳有手动脱壳和自动脱壳 自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了 手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符中输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外壳软件 UPX SHELL v3.09 UPX 外壳程序! 目的让UPX的脱壳加壳傻瓜化 注:如果程序没有加壳 那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。 脱完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加壳文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户中的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值