脱壳第三讲,UPX压缩壳,以及补充壳知识

　　　　　　　　　　　脱壳第三讲,UPX压缩壳,以及补充壳知识

一丶什么是压缩壳.以及壳的原理

在理解什么是压缩壳的时候,我们先了解一下什么是壳

1.什么是壳

　　壳可以简单理解为就是在自己的PE文件中包含了代码.而有不影响我们的PE文件的执行.

2.什么是压缩壳

　　压缩壳指的是让我们的PE文件变小.

3.压缩壳原理

首先可以看到,我们的PE文件

一个PE头,两个节数据,其中节和节之间还有对齐值.而上图是我们的一个正常壳映射到内存中的示意图.

4.压缩壳的思路

从上图可以看出, 我们的PE文件,压缩一下变成了一个新的PE文件,其中我们的PE文件,压缩的数据是节里面的数据

也就是说,压缩壳的原理就是压缩PE文件中节的数据.然后产生新的PE,这个新的PE我们成为带壳的PE

而我们运行带壳PE的时候,这时候壳中的解压缩代码开始执行,从而把我们以前压缩数据的节重新映射到内存.

5.压缩壳方法1(PE的生成)

此时观察方法1我们会发现,我们新的PE, 解压缩的代码在压缩数据(节)的上面,那么这个时候则会面临一个问题

如果我们解压缩的时候,那么压缩数据的地址应该在我们解压缩代码的哪里,那么此时我们一边解压缩,一边压缩数据会覆盖解压缩代码,此时我们不知道是先解压完成,还是先覆盖完成

解决方法:

　　首先我们知道原PE的节的个数以及大小,那么此时我们生成的新的带壳PE,则会获得大小.然后在其带壳PE的下面申请怎么大小的节用来占位置即可.

那么此时我们解压的数据,则会写到我们占位置的地方.

如果不懂可以看下图理解

此时Shell(中文翻译为壳)代表的就是解压缩的代码

这个图是映射到内存中的带壳PE分布图.

很简单,解压缩代码执行,然后解压的代码正好在我们占地方的位置.

二丶脱壳步骤,以及手脱UPX壳

首先我们知道压缩壳了,压缩壳就是缩小PE文件

那么在壳的世界 还有加密壳.  原理是一样的,只不过

压缩壳:　用来压缩数据，减小ＰＥ体积

加密壳：用来防住你们我们他们等等逆向人员的　＾＿＾

1.脱壳步骤：

１．查找OEP(入口点 )

　　 方法: 经验,这个主要看经验

　　 不过这个经验也好分辨.

2.脱壳手法

　2.1 ESP 定律

2.2 API

2.3 单步跟踪(步过循环,只向下跳转)

3. 经过上面步骤开始脱壳

　　手工DMP内存(把内存拷贝下来)

然后修复PE (一般加密壳汇编PE中的导入表给抹掉)

首先ESP定律,在壳的第一讲已经讲解过了

这里我们说下怎么查看入口点,以及脱壳手法的API 跟踪,和单步跟踪.

2.识别入口点

如果要识别入口点,这里只简单说下,因为比如 VC++6.0  VSXXX  VB...等等入口点都是不一样的

这里直说一下VC和VS入口点的识别方法.

首先随便打开一个没有加壳的程序(VC++6.0的)OD打开查看.

1.VC6.0的识别

往下拖动一下

可以看出,VC6.0的入口点会固定的调用这三个API

只需要记住即可.看下VS的识别方法

^{2.VS系列识别方法}

不知道还是电脑原因还是编译器原因,编译的程序不能在XP下使用OD打开,所以只能用IDA说下了

如果OD能打开,那么则是一个Call 然后下方紧接着跟着一个JMP跳转

那么它的入口点特征则是调用以上的API

3.使用API定位脱壳

因为ESP定律已经说过了,这里使用API进行脱壳.

思路:

　　因为我们知道入口点的特征,比如VC6.0的,它会调用API,那么我们API下段点即可.肯定会过去的.

首先我们脱一个VC6.0的upx压缩壳.

首先我们知道入口点会调用的API

那么我们下断点即可.

(注意,这里使用UPX随便压缩了一个VC的程序,UPX可以官网下载,VC程序也可以自己编写一个)

F9以下,看看能不能断下来.

断下来了,只不过是断在里面了,然后我们执行到返回  CTRL + F9 即可看到我们的熟悉的特征

确实使我们的入口点位置

那么此时移动汇编代码到入口点,也就是一开始的地方,(因为此时程序已经执行的API可能数据已经破坏了,所以我们在入口点位置下段点,重新运行则可以断在入口点)

此时重新运行程序,当我们的EIP 位置是4014EC的地方我们则可以DMP内存了.

保存一份即可.

3.使用单步方法定位入口点.

这个就比较简单了,我们遇到循环,不看直接往下单步走,直到走到一个远跳即可.

比如我模拟一下OD

地址:     汇编代码

1　　　add eax,eax

2          mov eax,eax

3          jnz   1 　　 　　　　EIP = 3

4　　  mov edx,edx

5         jmp  00401000

此时EIP = 3,那么会跳转到1,那么这个时候我们在4地址下段点即可,不看它的循环,一直到5地址,有个远跳,即可.

关于DMP内存和上面一样,不说了.