信用网站建设意见,怀化网站建设公司,专业网站设计第三方,wordpress w3【2022.1.3】手脱压缩壳练习#xff08;含练习exe#xff09; 文章目录【2022.1.3】手脱压缩壳练习#xff08;含练习exe#xff09;0、简介1、单步跟踪法#xff08;##xff09;方法介绍#xff08;0#xff09;练习exe下载#xff08;1#xff09;、查看源程序含练习exe 文章目录【2022.1.3】手脱压缩壳练习含练习exe0、简介1、单步跟踪法#方法介绍0练习exe下载1、查看源程序2、单步跟踪法脱壳【1】单步跟踪法脱壳口诀【2】OD载入脱壳[1]遇到近call[2]遇到跳转指令[3]似乎来到OEP[4]验证该处是否为OEP【3】IDA分析主函数缺少函数名【4】无法启动脱壳后的程序3、还原IAT表4、最后测试2、ESP定律#方法介绍0练习exe下载1载入OD2下硬件断点3再f9执行来到硬件访问断点4f8单步执行寻找OEP结构5假设OEPdump文件6验证假设7、恢复IAT表3、一步到达OEP法#方法介绍0练习exe下载1脱壳记录4、脱壳机练习upx#方法介绍0练习exe下载1脱壳记录5、总结0、简介
记录练习手脱壳简单的压缩壳都有对应练习exe。虽然都是一样的。。。
壳简介 图片来源看雪论坛
对比上图可以理解壳的加载过程一般分为4步 保存入口参数 通常用 pushad / popad、pushfd / popfd 指令对来保存和恢复现场环境 获取所需函数 API 一般是LoadLibraryGetProAddress 解密各区块数据 恢复入口参数比如通过popad跳转回原程序入口点AddressOfEntryPoint
而我们脱壳要做的就是在有壳程序执行完步骤4之后把程序dump出来此时dump出来的程序虽然不能启动但是已经可以被IDA反编译出正常的自身函数了不过还是有些导入的函数看不见名字一般是IAT表出现问题所以还要通过ImportREC.exe进行IAT重建之后即可正常启动
常规的脱壳方法一般有几种单步跟踪法、ESP定律法、一步到达OEP法等等。
下面就是脱壳练习记录~
1、单步跟踪法
#方法介绍
总的来说就是一步步调试直到程序自动自动解壳
**概述**单步跟踪法的原理就是通过 Ollydbg 的步过 (F8), 步入(F7) 和运行到 (F4) 功能, 完整走过程序的自脱壳过程, 跳过一些循环恢复代码的片段, 并用单步进入确保程序不会略过 OEP. 这样可以在软件自动脱壳模块运行完毕后, 到达 OEP, 并 dump 程序。
技巧
1、打开程序按 F8 单步向下, 尽量实现向下的 jmp 跳转
2、会经常遇到大的循环, 这时要多用 F4 来跳过循环
3、如果函数载入时不远处就是一个 call(近 call), 那么我们尽量不要直接跳过, 而是进入这个 call
4、一般跳转幅度大的 jmp 指令, 都极有可能是跳转到了原程序入口点 (OEP)
0练习exe下载 链接https://pan.baidu.com/s/1Gf99jnR1XESBseoNp5n57w 提取码mjeu 单步跟踪法 脱壳练习
1、查看源程序
检测有无壳 Aspack的压缩壳
IDA打开看看IDA分析有壳的程序是什么样 2、单步跟踪法脱壳
【1】单步跟踪法脱壳口诀
打开程序按 F8 单步向下, 尽量实现向下的 jmp 跳转会经常遇到大的循环, 这时要多用 F4 来跳过循环如果函数载入时不远处就是一个 call(近 call), 那么我们尽量不要直接跳过, 而是进入这个 call一般跳转幅度大的 jmp 指令, 都极有可能是跳转到了原程序入口点 (OEP)
【2】OD载入脱壳
[1]遇到近call
进来后直接遇到近call f7步入之后f8执行 f8执行到近callf7步入 步入之后是这样没有发现近call放心f8 [2]遇到跳转指令
f8的过程中一定要注意跳转指令jmpjejnejzjb等待
跳转指令 尽量是向下跳转的
如果遇到向上跳转则选中下一行代码按f4执行到指针处
下面遇到了一个向上跳转的指令技巧 又遇到向上跳转和上面一样的方法 然后就是一直f8遇到向上跳转则重复上面的方式。
题外话遇到一个popad 又继续f8…………
[3]似乎来到OEP
直到到这里下面的结构就很像程序真正的入口函数猜测这里就是OEP [4]验证该处是否为OEP
先假设上述地址0x4010cc就是程序OEP所以在那里dump出来
右键-dump 先获取当前EIP作为OEP再dump文件出来
文件名默认为原名_dump.exe 验证猜测
用IDA打开我们dump出来的文件 根据以上两点则猜测验证完毕
单步脱壳法完成
【3】IDA分析主函数缺少函数名 对比上一张IDA打开的图
【4】无法启动脱壳后的程序 综上所述还要还原IAT表
3、还原IAT表 ImportREC1.7下载链接 链接https://pan.baidu.com/s/1ztQybt9saucXHk22-majgQ 提取码2k6v 打开ImportREC.exe 运行原程序未脱壳的版本能运行。
在ImportREC.exe里附加活动进程为原程序。 更改OEP为我们新找到的OEP主要要减去ImageBase(基值)400000
然后点击自动搜索 然后点击获取输入表 再点击修复转存文件 选取先前dump出来的文件完成后会生成一个新的文件原名_dump_.exe 4、最后测试
点击运行NotePad_dump_.exe发现能正常运行了 然后用IDA分析这个文件API函数名也能正常显现了 完成单步跟踪法脱壳IAT修复
2、ESP定律
#方法介绍
ESP 定律法是脱壳的利器, 是应用频率最高的脱壳方法之一。
由于在程序自解密或者自解压过程中, 不少壳会先将当前寄存器状态压栈,如使用pushad, 在解压结束后, 会将之前的寄存器值出栈,如使用popad。
因此在寄存器出栈时, 往往程序代码被恢复, 此时硬件断点触发. 然后在程序当前位置, 只需要少许单步操作, 就很容易到达正确的 OEP 位置。
程序刚载入开始 pushad/pushfd将全部寄存器压栈后就设对 ESP寄存器设硬件断点运行程序, 触发断点删除硬件断点开始分析找到OEPdump程序
0练习exe下载 链接https://pan.baidu.com/s/10F7z2L_ne4MD59o9bHfjVA 提取码xs9d ESP定律脱壳练习
由于是一样的程序前面单步跟踪法已经讲了完整脱壳过程我这里就直接记录重点。
开头结尾略去。
1载入OD
看见第一条指令便是pushad指令。 2下硬件断点
f8执行一步发现esp发生变化右键点击esp选择数据窗口中跟随 下硬件访问断点 3再f9执行来到硬件访问断点
f9之后来到这里 查看前一行代码很显然是popad 4f8单步执行寻找OEP结构
下来之后f8单步执行仔细看注意跳转
几步之后就跳到了这里 所以也是猜测地址0x4010CC是OEP
5假设OEPdump文件
假设地址0x4010CC是OEP
同样的方式dump文件主要要先点击Get EIP as OEP 6验证假设
IDA打开dump文件
假设验证成功
但很显然dump程序也不能执行
所以是没有恢复IAT表
7、恢复IAT表
一样的程序前面单步脱壳法已经记录了这里就不再赘述
3、一步到达OEP法
#方法介绍
**简介**所谓的一步到达 OEP 的脱壳方法, 是根据所脱壳的特征, 寻找其距离 OEP 最近的一处汇编指令, 然后下 int3 断点, 在程序走到 OEP 的时候 dump 程序.比如常见脱壳特征popad
如一些压缩壳往往 popad 指令距离 OEP 或者大 jmp 特别近, 因此使用 Ollydbg 的搜索功能, 可以搜索壳的特征汇编代码, 达到一步断点到达 OEP 的效果。
以OD调试为例
ctrlf 查找 popadctrll 跳转到下一个匹配处找到匹配处, 确认是壳解压完毕即将跳转到 OEP 部分, 则设下断点运行到该处
不过这只适用于极少数压缩壳
0练习exe下载 链接https://pan.baidu.com/s/1mEoJwJKUJxUp4HErF4NTSA 提取码p465 1脱壳记录
OllyDbg载入Notepad.exe
直接按CtrlF搜索popad
我们需要找的popad需要满足是在程序最后返回时壳程序希望恢复现场环境的地方
也就是靠近jmp或retn的地方
直接搜索popad显示出的几个结果都不太符合标准 我们按CtrlL查看下一个搜索目标。
在0040D3AF位置处我们发现这样一个popad
0040D3AF 61 popad 0040D3B0 75 08 jnz short NotePad.0040D3BA 0040D3B2 B8 01000000 mov eax,0x1 0040D3B7 C2 0C00 retn 0xC 0040D3BA 68 00000000 push 0x0 0040D3BF C3 retn 离跳转和retn很接近我们变可以尝试这个popad按F4运行到此处继续F8单步向下
在retn后返回到OEP使用Ollydump脱壳然后一样的重建IAT即可 但是你要注意这个方法只能用于极小部分情况。很多壳是不会直接使用popad这样的指令的
4、脱壳机练习upx
#方法介绍
就是直接傻瓜式一键操作
0练习exe下载 链接https://pan.baidu.com/s/1s319A3-XPCnmqJ-ffTg7fA 提取码vn4w 1脱壳记录
脱壳机安装 https://upx.github.io/ 脱壳指令
upx -d “脱壳程序”5、总结
多动手操作印象跟深刻
参考文章ctf-wick脱壳技术
