利用单次追踪法进行脱壳

预备知识

基础的汇编语言命令以及对汇编程序的基本审计能力。
壳的概念：加壳的全称应该是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。
加壳是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。
壳的类型通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小，加密保护不是重点。加密壳种类比较多，不同的壳侧重点不同，一些壳单纯保护程序，另一些壳提供额外的功能，如提供注册机制、使用次数、时间限制等。
Upx：UPX（the Ultimate Packer for eXecutables）是一款先进的可执行程序文件压缩器（压缩壳），压缩过的可执行文件体积缩小50%-70%，这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。通过UPX压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行，对于支持的大多数格式没有运行时间或内存的不利后果。UPX支持许多不同的可执行文件格式包含Windows 95/98/ME/NT/2000/XP/CE程序和动态链接库、DOS程序、Linux可执行文件和核心。——百度百科
PEiD：PEiD（PE Identifier）是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。
OllyDbg：OllyDbg（简称“OD”）是由OlehYuschuk编写的一款具有可视化界面的用户模式调试器，可以在当前各种版本的Windows上运行，但NT系统架构更能发挥OllyDbg的强大功能。OllyDbg结合了动态调试和静态分析，具有GUI界面，非常容易上手，对于异常的跟踪处理相当灵活。这些特性使OllyDbg成为调试Ring3级程序的首选工具。他的反汇编引擎很强大，可识别数千个被C和Windows频繁使用的函数，并能将其参数注释出来。它会自动分析函数过程，循环语句，代码中的字符串等。此外，开放式的设计给了这个软件很强的生命力。通过爱好者们的不断修改和扩充，OllyDbg的脚本执行能力和开放插件接口使其变得越来越强大。

实验目的

1）理解单步跟踪法的运作原理。
2）掌握使用单步跟踪法进行脱壳的流程。

实验环境