利用单次追踪法进行脱壳

这篇博客介绍了如何利用单步追踪法进行脱壳,详细讲解了实验目的、环境和步骤。内容涵盖壳的类型、UPX压缩壳、PEiD查壳工具以及OllyDbg调试器的使用。实验目的是理解单步跟踪法的运作原理,并通过实际操作掌握脱壳流程。实验环境中使用Windows 7和OllyDbg进行演示,强调了不同编程语言的OEP特征结构,以及如何通过单步跟踪法和OllyDbg的脱壳插件对加壳文件进行脱壳。
摘要由CSDN通过智能技术生成

预备知识

基础的汇编语言命令以及对汇编程序的基本审计能力。
壳的概念:加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。
加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。
壳的类型通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小,加密保护不是重点。加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如提供注册机制、使用次数、时间限制等。
Upx:UPX(the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器(压缩壳),压缩过的可执行文件体积缩小50%-70%,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。通过UPX压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。UPX支持许多不同的可执行文件格式包含Windows 95/98/ME/NT/2000/XP/CE程序和动态链接库、DOS程序、Linux可执行文件和核心。——百度百科
PEiD:PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
OllyDbg:OllyDbg(简称“OD”)是由OlehYuschuk编写的一款具有可视化界面的用户模式调试器,可以在当前各种版本的Windows上运行,但NT系统架构更能发挥OllyDbg的强大功能。OllyDbg结合了动态调试和静态分析,具有GUI界面,非常容易上手,对于异常的跟踪处理相当灵活。这些特性使OllyDbg成为调试Ring3级程序的首选工具。他的反汇编引擎很强大,可识别数千个被C和Windows频繁使用的函数,并能将其参数注释出来。它会自动分析函数过程,循环语句,代码中的字符串等。此外,开放式的设计给了这个软件很强的生命力。通过爱好者们的不断修改和扩充,OllyDbg的脚本执行能力和开放插件接口使其变得越来越强大。

实验目的

1)理解单步跟踪法的运作原理。
2)掌握使用单步跟踪法进行脱壳的流程。

实验环境

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值