<逆向学习第二天>如何手动脱UPX、Aspack壳

UPS、AsPack压缩壳介绍：

　　　UPX 、AsPack是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ，这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过压缩过的程序和程序库完全没有功能损失，和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。

　　
    压缩的原理是什么呢？

压缩就好像把 可执行文件中的 123456 用字母%A代替，789ABC用字母%C代替，这样程序代码的体积不久变小了很多。(要是可以这样压缩，这不都只有三分之一了，好机智)。

　　实际上现在网络有很多UPX、Aspack脱壳器，但是入门学习一定要从头学习手动脱壳，学习原理，我会将我近期学习到的4种方法总结于本文。

　　　　首先使用PEiD或者EXEInfoPE查壳，这里我使用PEiD。

　　

　　可见此程序加的是UPX壳，接下来我们手动将它脱掉。

　　　　1、单步跟踪法

　　　　　此方法是将向上跳转设置断点让它不能实现，向下跳转不执行动作让它实现。

　　

　　　　将程序拖入OP，可以看到Pushad是这个程序的入口点。接下来按F8（单步步过）或者点击此按钮即可。

　　　　单步跟踪法是将向上跳转设置断点，所以我们就用F8逐一的找向上跳转。

　　　　红色椭圆框住的就是向上跳转，每当遇见的时候通常我们都在下一句设置断点，所以我们可以直接在下一句（即红色矩形框框住部分）按F4，逐步向下寻找。

　　　　这个跳转因为下一句是一个“CALL”所以我们在CALL下面的一句设置断点。这里注意一下popad。这个是“出站口”，注意到前面pushad是“入站口”，有入站口就会有出站口即popad。再看popad下面的语句，98E1EFFF，0047738C，这个跨度比较大，典型的Delphi程序，一般再单步步进一次就可以进入到程序的真正程序段。

　　

　　接下来我们进行脱壳，可以直接用OD脱壳插件脱壳，右键用OllyDump脱壳调试进程。

　　可以用方式1，也可以用方式2，都可以进行脱壳。

　　

　　　2、ESP大法

　　　　ESP大法相比于单步跟踪法来说简便，利用寄存器ESP的值来进行脱壳。

　　　　 首先来看程序入口点，关键语句Pushad。

　　　　 ESP大法是在关键语句的下一句如果ESP颜色突变进行操作，我们来看一下下一语句的ESP。

　　　　 这里我们看到寄存器里只有ESP是红色的，那我们就可以操作了。右键数据窗口中跟随。

　　　　 在数据窗口中进行如下操作，word Dword都可以。

　　　　 然后我们F9运行，来到了我们刚才熟悉的界面，单步步进，来到了主程序程序段，脱壳即可。

　　　　 3、内存2次镜像法

　　　　　　

　　　　　　点击m进入内存界面，接下来我们找在内存中的本程序段的.rsrc，F2设置断点，运行。

　　　　 　

　　　　　　所谓2次镜像法就是要进行2次内存操作，接下来我们再点m进入内存信息界面，找到地址00401000，F2设置断点，运行。又来到了我们熟悉的语句popad，设置断点，单步步进，脱壳。

　　　　　　4、一步直达法

　　　　　　此方法适用于UPX,Aspack壳，前面说过pushad为入口点，那么它必定有一个出口点popad，所以我们只需要Ctrl+f查找popad即可。