工具
- upx:upx是一个开源的压缩壳工具,可以到github下载upx
- Study_PE工具,可以到看雪论坛下载
upx简单的用法
upx src.exe命令将src.exe加壳
upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe
upx手动脱壳
脱壳原理
平衡堆栈法(又称ESP定律,技巧法)
一般加壳程序在运行时,会先执行壳代码,然后在内存中恢复还原原程序,再跳转回原始OEP,执行原程序的代码,我们可以把壳代码理解为一个大的函数,既然是函数,那么进入函数和退出函数时,堆栈应该就是平衡的,基于这样的一种特性,我们可以在壳代码操作了堆栈之后,对堆栈设置访问断点,然后让程序跑起来,当程序暂停的时候,就是壳代码即将执行完的时候,然后在其附近单步跟踪,就可以找到原始OEP了。这种方法比较适用于upx这种只对代码和数据压缩了的壳,如果还对代码加密了,那么就不是太好找了。加密的话就需要结合单步跟踪法。
开始实验
首先写一个demo程序,用upx加壳,操作如下:
没有加壳之前,程序的入口地址为:``ImageBase + AddressOfEntryPoint = 0x004014C0```
OD加载之后也可以看到程序载入内存之后的入口地址:
节区如下,一共有7个节区
加壳之后
入口地址发生了变化
节区的变化,之前有7个节区,现在只有3个节区
通过Study_PE也检测出了壳程序位UPX
加壳程序分析
使用OD加载程序,可以看到OD也提示程序已经被加密或者压缩,壳程序正是对原有程序做压缩或者加密,以达到保护程序,减少程序大小的目的。
OD加载程序之后,可以看到第一条指令为pushad指令。对于壳程序,先pushad,首先将EAX, ECX, EDX, EBX, ESP, EBP, ESI, and EDI寄存器的值压栈,它的作用的保存寄存器的状态,执行壳程序解压(解密)原程序,最后popad恢复寄存器状态,跳到OEP执行原程序
执行pushad指令之后,在ESP内存下硬件访问断点,再次访问到ESP的时候说明壳程序运行结束。按下F9,执行到断点处。
可以看到上一条指令是popad,执行与pushad相反的操作,恢复寄存器状态。
在不远处看到一个大的跳转,jmp demo_upx.004014C0,这里是跳到程序的OEP。
实际上在分析时,我们是先单步到jmp跳转到的代码进行观察之后得出是否是原始OEP的结论的,这个部分需要我们对未加壳程序的OEP要有所了解,比如VC6.0的程序一般OEP最开始的一个API调用是GetVersion,看OEP见到GetVersion就如见到了vc6.0程序。
我们单步到跳转之后的代码处,0x004014C0这个地方就是原始OEP,而后我们要做的就是在这个地方进行dump。
至此,我们已经将upx壳脱掉,并将脱壳的程序命名为dump.exe。但是脱壳之后的程序是无法运行的,这时需要修复导入地址表IAT。
IAT修复
大量实验表明,IAT并不一定位于在导入表中。IAT可以位于程序中任何具有写权限的地方,只要当可执行程序运行起来时,操作系统可以定位到这些IID项,然后根据IAT中标明的API函数名称获取到函数地址即可。
下面我们来总结一下操作系统填充IAT的具体步骤:参考来源
- 定位导入表
- 解析第一个IID项,根据IID中的第4个字段定位DLL的名称
- 根据IID项的第5个字段DLL对应的IAT项的起始地址
- 根据IAT中的指针定位到相应API函数名称字符串
- 通过GetProcAddress获取API函数的地址并填充到IAT中
- 当定位到的IAT项为零的时候表示该DLL的API函数地址获取完毕了,接着继续解析第二个IID,重复上面的步骤。
参考
https://zhuanlan.zhihu.com/p/34263050
