一、基本概念的理解
壳的脱壳:如果我们将一个应用程序比喻成一个鸡蛋,程序中对我们有用的程序代码为鸡蛋清,而我们需要获取鸡蛋清的时候,就必须打破鸡蛋外面的鸡蛋壳,也就是进行脱壳的处理。
脱壳的方式:不同的壳对应的脱壳方式会不一样,甚至相同的壳但是不同的版本,脱壳的方式也会可能不同。
二、示例程序演示
示例程序为win7自带的notepad.exe ,该程序原本没有加壳
对该应用程序notepad-UPX.exe进行UPX加壳
压缩之后查壳
进行upx加壳前后对比
三、脱UPX壳
1、脱壳的基本过程
手动跟踪到程序的OEP(程序原始入口点),将程序和数据dump下来,然后再进行IAT的相关修复即可。
2、如可查找OEP
(1)需要熟悉各种编译器生成的程序的入口点的指令。例如vs 程序的入口点一般为:
push ebp
mov ebp,esp
(2)壳进行解压缩的代码通常在一个自己的区段里面运行,解压缩完成后通常会跳转到原始程序入口点进行运行,此时跳转到OEP往往需要一个JMP或CALL,保证EIP指针指向了原始的OEP地址。注:原始的OEP与解压缩的代码通常不在一个区段内,所以JMP与CALL往往实现的是跨区段的跳转。
3、手动的跟踪脱UPX壳
OD载入程序后,先运行的是壳的解压缩代码,逐步F8往下跟踪,跟踪完解压缩代码后,跳转到OEP。
(1)UPX壳所用到的API:LoadLibraryA和GetProcAddress,这两个API将进行对原始程序的导入函数进行还原。LoadLibraryA进行加载导入函数相关的动态链接库,GetProcAddress在动态链接库里面获取导入函数的地址进行还原。
LoadLibraryA
GetProcAddress
(2)注意相关的逻辑循环,使用F4运行到指定位置,跳出循环(注意:如果碰到nop的指令,F4定到下一条语句,否则程序会跑飞)。UPX在完成解压缩之后,会进行跳转到原始程序入口点,这是跨区段的跳转,在F8与F4往下运行的同时,注意跨区段的JMP
地址 0x0055B9D4与0x004E53C2,地址之间相差巨大,此时往往为跨区段的跳转。该条指令就是跳转到原始程序的入口点,F8自动步入到OEP
(3)打开LoadPE,选中该应用程序进程,右键先“修正镜像大小”,再“完整转存”,将OD跟进到OEP的程序转储下来。
此时转储下来的dumped.exe程序无法运行,因为导入表还没有进行修复
接下来我们进行导入表的修复
(4)计算出OEP的RVA值,也可以在我们跟进的OEP处,右键选中Dump Process插件(注:不同的OD的名称有细微的差别),获取当前EIP作为OEP的RVA值(Get EIP as OEP)
获取到OEP的值为 0x000E53C2
(5)使用ImpREC进行对导入表的修复
填写我们的OEP值,然后点击“自动查找IAT”,再点击“获取输入表”,最后进行转储到文件,进行修复dump下来的导入表(无效的指针在脱UPX壳中可以不用删除)
修正后的可执行文件dumped_.exe
dumped_.exe就是可以正常运行的程序了,我们最后再来查壳看看该程序,此时没有壳
脱upx壳小技巧:通过脱壳发现,upx壳的解压缩完成后跳转到OEP的jmp指令后面为nop指令,通常只需要鼠标往下滚动,发现很多nop指令时,就能找到该jmp指令。
四、脱壳找IAT小技巧
我们在进行跟进到OEP后,有可能壳的解压缩程序并没有完全的帮我们恢复IAT(例如:FSG壳),而ImpREC并不能帮我们完整的修复,此时就需要我们手动进行修复,如何查找到IAT?
调用系统的API的call指令的二进制指令代码为 FF 15,所以我们只需要在OD中,查找FF 15二进制指令就能找到某个导入函数的地址,然后再数据窗口中跳转到该地址就能到IAT的位置,再进行上下滚动就能查找了。
基本步骤:
1、Ctrl+B或在OD中右键->查找->二进制子串
输入FF 15,点击确定就能查找到某一个导入函数的地址
2、此时查找到的API为kernel32里面的GetCommandLineA,它在内存中的地址为0x53230C,我们在数据窗口中Ctrl+G,输入该导入函数的地址跳转到0x53230C(注:数据窗口中需要右键->长型->地址才能查看到API的名称)
此时查找到IAT,就可以进行一些相关恢复。
upx壳的解压缩代码已经进行了完全的恢复,所以此处并不需要进行相关修复。
本文难免有所错误,如有问题欢迎留言
扫一扫
7226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
