免责声明
月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他违法行为!!!
-
有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,(ps:我们的学习资料)
-
把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩
-
在黑容界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能.这些软件称为加壳软件。
什么是OEP
OEP:(Original Entry Point),程序的入口点。软件加壳一般隐藏了程序真实的OEP(或者用了假的OEP), 我们需要寻找程序真正的OEP,才可以完成脱壳。
一般加壳程序在使用Ollydbg等动态调试工具时,会停在壳的预处理块。即处在对于程序原始代码块的解压或解密操作之前,在运行完程序自脱壳模块后,会停留在程序加壳之前的OEP位置,此时是dump程序的最佳时期。脱壳时在真实OEP处下int3断点,就可以捕捉到程序代码段完全恢复的状态。因此,寻找加壳程序的正确OEP,也成了手动脱壳时的第一要务。
什么是IAT
IAT:(Import Address Table),导入地址表。由于导入函数就是被程序调用 但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中。当PE文件被装入内存的时候,Windows装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成。其中导入地址表就指示函数实际地址。多数加壳软件在运行时会重建导入地址表,因此获取加壳程序正确的导入地址表也是手动脱壳操作中的一个关键问题。
想必大家对我们梳理过脱壳的概念已经有所了解,下面进入实“脱”教学
1.esp定律
使用PEID查壳,了解壳的属性
载入OD,F8单步运行,注意寄存器的窗口
这个时候会发现只有ESP后面对应得数据为红色,我们就应该知道,可以使用ESP定律了,单击红色的ESP右键会出现HW break esp的选项
然后重载运行,单击F8,到达OEP,然后使用OD自带的脱壳插件
(oep的标志)you
2.单步跟踪
同样的壳,不用ESP,F8单步步过,这时会遇到跑飞的情况,单步跟踪注意call和向上的跳转,遇到跑飞的call就重载F7进入,F8不断的向下运行,这时会遇到向上的跳转,在向上跳转的下面一行代码出右键 选择断点运行到选定位置(F4),注意红线(跳转实现)的要在底下设置,灰色的不用管。一直F8继续向下走
走到最后会出现壳的OEP,同第一种方法的最后(强烈推荐)
3.SFX
这种方法是一种自动脱壳的方法,很简单步骤为 OD载入————>找到选项 调试设置中的SFX————>选择 按字节方式跟踪真正入口处 重载等待
不建议用这种方法,有时会很长时间,还是锻炼技术为好
4.模拟跟踪
ALT+M,在.rsrc处下断点,SHIFT+F9返回,然后在.text处在下一断点,同样的办法处理, 在底下的命令行输入tc eip<01013000回车
这种方法用在不知道OEP是什么样子的时候可以试试
5.出口标志
开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到此处。来到大跳转处,点下F8,到达OEP!
6.方法五:最后一次异常法
点击选项——调试选项——异常,把里面的对号全部去掉!CTRL+F2重载下程序,如果一开始程序就是一个跑飞,在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数m!CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运行的次数m-1次)在OD的右下角我们看见有一个"SE 句柄",这时我们按CTRL+G,输入SE 句柄前的地址!按F2下断点!然后按SHIFT+F9来到断点处!去掉断点,按F8慢慢向下走!到达程序的OEP!
7.秒到OEP
运行,观察右下角的栈窗口,翻到最底下顺着边框找到第一个
然后 反汇编窗口中跟随,然后在反汇编窗口中不断的向上走,走到INT3断点处就会发现,下面就是OEP的标志,在标志处(push xxxx)右键选择在数据窗口中跟随,这时左下角的数据窗口出现
在灰色区点击右键下硬件执行断点,重载直接秒到OEP并脱壳
本文由月落星沉团队编写,欢迎各位网安工程师加入月落安全研究实验室,一起学习交流讨论!群聊已满的添加Vx:linjialelovejesus,备注进群。(已加入一二三四五六群的无需重复加群)
原文始发于微信公众号(月落安全):网安的壳和脱壳常用g巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论