殼的介紹以及脫殼常用思路

一、概論殼出于程序作者想對程序資源壓縮、注冊保護的目的，把殼分為壓縮殼和加密殼兩種常見壓縮殼：UPX、ASpcak、Telite、PElite、Nspack...常見加密殼：ArmadilloASProtectACProtectEPESVKP...顧名思義，壓縮殼只是為了減小程序體積對資源進行壓縮，加密殼是程序輸入表等等進行加密保護。當然加密殼的保護能力要強得多！二、常見脫殼方法預(yù)備知識PUSHAD（壓棧）代表程序的入口點，POPAD（出棧）代表程序的出口點，與PUSHAD想對應(yīng)，一般找到這個OEP就在附近3.OEP:程序的入口點，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。如何分辨加密殼和壓縮殼，通用特點，OD載入時有入口警告或詢問是壓縮程序嗎？普通壓縮殼OD調(diào)試時候沒有異常，加密殼全部有反跟蹤代碼，會有許多SEH陷阱使OD調(diào)試時產(chǎn)生異常。找OEP的一般思路如下：先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常。外殼解壓代碼起始點如果是pushfdpushad跟蹤時如果有發(fā)現(xiàn)popadpopfd對應(yīng)有些殼只有pushad和popad相對應(yīng)附近還有retnjmp等指令，發(fā)生跨斷跳躍一般就到了OEP處。當然也有其他的，如jeOEP等等，一般都是段之間的大跳轉(zhuǎn)，OD的反匯編窗口里都是同一個段的內(nèi)容，所以更好區(qū)別是否是段間跳轉(zhuǎn)。找Oep時注意兩點。1、單步往前走，不要回頭。2、觀察。注意poshad、poshfd,popad、popfd等，和外殼代碼處對應(yīng)，注意地址發(fā)生大的變化。單步跟蹤什么時候F8走，F(xiàn)7,F4步過？這里我說說關(guān)于F8（StepOver）和F7（Stepin）的一般方法，粗跟的時候一般都是常用F8走，但是有些call是變形的Jmp，此時就需要F7代過，區(qū)別是否是變形Jmp的一個簡單方法是比較call的目標地址和當前地址，如果兩者離的很近，一般就是變形Jmp了，用F7走。對于Call的距離很遠，可以放心用F8步過，如果你再用F7步過，只是浪費時間而已。F8步過對壓縮殼用的很多，F(xiàn)7步過加密殼用的很多，如果用F8一不小心就跑飛（程序運行），跟蹤失敗。加密殼找Oep對于加密殼，我的方法一般是用OD載入，鉤掉所有異常（不忽略任何異常，除了忽略在KERNEL32中的內(nèi)存訪問異常打勾。有時由于異常過多可以適當忽略一些異常），運行，數(shù)著用了多少次Shift+F9程序運行，顯然最后一次異常后，程序會從殼跳到OEP開始執(zhí)行，這就是我們尋找OEP的一個關(guān)鍵，如果程序Shift+F9后直接退出，很明顯加密殼檢測調(diào)試器，最簡單的應(yīng)付方法就是用OD插件隱藏OD。單步異常是防止我們一步步跟蹤程序，即F8,F7，F(xiàn)4等，Int3中斷是檢測調(diào)試器用的，僅在Win9x系統(tǒng)中有效，2000/XP就會出現(xiàn)斷點異常,其它的異常主要是干擾調(diào)試。這一系列的異常雖然干擾我們調(diào)試，但也給我們指明了一條通路，就是Shift+F9略過所有異常，然后找到最后一處異常，再它的恢復(fù)異常處下斷點，跟蹤到脫殼入口點。確定從所有Seh異常中走出來，如果前面有大量循環(huán)，逐段解壓。三、常見的幾種脫殼方法方法一：單步跟蹤法用OD載入，點“不分析代碼!”單步向下跟蹤F8,實現(xiàn)向下的跳。也就是說向上的跳不讓其實現(xiàn)?。ㄍㄟ^F4）遇到程序往回跳的（包括循環(huán)），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點——>運行到所選）綠色線條表示跳轉(zhuǎn)沒實現(xiàn)，不用理會，紅色線條表示跳轉(zhuǎn)已經(jīng)實現(xiàn)！如果剛載入程序，在附近就有一個CALL的，我們就F7跟進去，不然程序很容易跑飛，這樣很快就能到程序的OEP在跟蹤的時候，如果運行到某個CALL程序就運行的，就在這個CALL中F7進入一般有很大的跳轉(zhuǎn)（大跨段），比如jmpXXXXXX或者JEXXXXXX或者有RETN的一般很快就會到程序的OEP。Btw:在有些殼無法向下跟蹤的時候，我們可以在附近找到?jīng)]有實現(xiàn)的大跳轉(zhuǎn)，右鍵一>“跟隨”，然后F2下斷，Shift+F9運行停在“跟隨”的位置，再取消斷點，繼續(xù)F8單步跟蹤。一般情況下可以輕松到達OEP！方法二：ESP定律法ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問斷點，就會一下來到程序的OEP了！）開始就點F8,注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)（變成紅色）。（這只是一般情況下，更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個ESP值）在命令行下：ddXXXXXXXX（指在當前代碼中的ESP地址，或者是hrXXXXXXXX），按回車！選中下斷的地址，斷點--->硬件訪一->WORD斷點。按一下F9運行程序，直接來到了跳轉(zhuǎn)處，按下F8,到達程序OEP。方法三：內(nèi)存鏡像法1：用OD打開軟件！2：點擊選項——調(diào)試選項——異常，把里面的忽略全部J上！CTRL+F2重載下程序！3：按ALT+M，打開內(nèi)存鏡象，找到程序的第一個.rsrc.按F2下斷點，然后按SHIFT+F9運行到斷點，接著再按ALT+M，打開內(nèi)存鏡象，找到程序的第一個.rsrc.上面的.CODE（也就是00401000處），按F2下斷點！然后按SHIFT+F9（或者是在沒異常情況下按F9），直接到達程序OEP!方法四：一步到達OEP開始按Ctrl+F，輸入：popad（只適合少數(shù)殼，包括UPX，ASPACK殼），然后按下F2,F9運行到此處來到大跳轉(zhuǎn)處，點下F8，到達OEP！方法五：最后一次異常法1：用OD打開軟件2：點擊選項一一調(diào)試選項一一異常，把里面的J全部去掉！CTRL+F2重載下程序3：一開始程序就是一個跳轉(zhuǎn)，在這里我們按SHIFT+F9,直到程序運行，記下從開始按SHIFT+F9到程序運行的次數(shù)m！4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數(shù)為程序運行的次數(shù)m-1次）5：在OD的右下角我們看見有一個"SE句柄〃，這時我們按CTRL+G，輸入SE句柄前的地址！6：按F2下斷點！然后按SHIFT+F9來到斷點處！7：去掉斷點，按F8慢慢向下走！8：到達程序的OEP！方法六：模擬跟蹤法1：先試運行，跟蹤一下程序，看有沒有SEH暗樁之類2：ALT+M打開內(nèi)存鏡像，找到（包含=SFX,imports,relocations）內(nèi)存鏡像，項目30地址=0054B000大小=00002000（8192.）Owner=check00400000區(qū)段=.aspack包含=SFX,imports,relocations類型=Imag01001002訪問=R初始訪問=RWE3：地址為0054B000，如是我們在命令行輸入tceip<0054B000,回車，正在跟蹤ing。。Btw:大家在使用這個方法的時候，要理解他是要