手动脱UPX 壳实战

作者：Fly2015

Windows平台的加壳软件还是比較多的，因此有非常多人对于PC软件的脱壳乐此不彼，本人菜鸟一枚，也学习一下PC的脱壳。要对软件进行脱壳。首先第一步就是 查壳。然后才是 脱壳。

推荐比較好的查壳软件：

PE Detective 、Exeinfo PE、DIE工具。

须要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52pojie.cn/thread-378612-1-1.html第一课的作业题1.

1.对该程序(吾爱破解培训第一课作业一.exe)进行查壳

PE Detective的查壳结果:

Exeinfo PE的查壳结果：

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

DIE的查壳的结果:

DIE查壳有一个优点就是能从查壳的结果中得知被加壳的程序是用什么语言编写的。这个比較实用。

2.进行UPX脱壳实战

该程序加载OD以后发现有pushad指令，非常显然该程序需採用ESP定律进行脱壳。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

F8单步走一步。然后右键选择ESP寄存器下HW break硬件断点。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

F9执行程序，该程序会在硬件断点的地方自己主动断下来，如图：

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

在JMP指令的位置F2下断点，然后F9执行到该断点00457765处，地址0041DDAC处就是被加壳程序原来的OEP处。

一般被加壳的程序在解壳以后都会有一个跳转，可能是JMP也可能是其它的指令。

F7跟进到地址0041DDAC处，如图：

是不是非常眼熟啊，VS2008等编译的程序的入口点汇编指令。下一步就能够使用OD的插件OllyDump或者(Load PE+RECImport)工具进行程序的脱壳和IAT表的修复：

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

被加壳程序的真实的OEP的RVA地址为1DDAC，这里IAT表的重建选择方式1，依据实际情况选择IAT表的修复方式。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

Ok。用查壳程序。对脱壳程序进行查壳，结果例如以下：

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

执行一下刚才被脱壳的程序，证明脱壳成功！

UPX脱壳分析文档和完美脱壳后的程序下载地址;http://download.csdn.net/detail/qq1084283172/8883081