UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:
单步跟踪法、ESP定律、内存镜像法、POPAD查找法。
1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置。要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到壳的循环当中,就出不来了。运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret。跳转之后的代码是popad,一般就是到了程序的OEP了。然后脱壳即可。
2.ESP定律。这个是利用堆栈平衡的原理,如果具体想了解什么是ESP定律和堆栈平衡,可以看这个链接的帖子:http://www.pediy.com/bbshtml/BBS6/pediy6083.htm
一般操作步骤:使用OD加载程序后,按F8进行单步跟踪,注意右上角的寄存器窗口,当发现ESP和EIP的值同时变红时(表示同时发生了变化)。在寄存器窗口中点击右键,选择“数据窗口中跟随”。然后在右下角的内存窗口中,点击右键,选择“断点”——“硬件访问”——“字”。最后按F9运行程序,就会直接来到程序的OEP附件了。最后记得要删除刚刚下的硬件断点。通过菜单栏上选择“调试”——“硬件断点”,就会看到我们下的断点,删除即可。
3.内存镜像法。加载程序,按CTRL+M,或者点工具栏上的M按钮。打开内存窗口。在资源这一行上按F2下断点,即“.rsrc”这一行。然后按F9运行程序。再按CTRL+M打开内存窗口,在数据行上下断点(按F2)。即PE头的下一行。下断后,再按F9运行,就会达到程序的OEP附近了。
4.POPAD查找法。加载程序后,按CTRL+F进行查找。在查找框中输入“popad”,把“整个块”的复选框去掉。按后回车,就会来到程序OEP的附件了。按后按F4,将程序运行到当前位置,再单步跟踪几次就到OEP了。
6803
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
