关于手动脱壳的分析及方法总结-CSDN博客

本文链接：https://blog.csdn.net/Yyx260019/article/details/140668028

手动脱壳是软件逆向及病毒分析最基本的操作，主要为分析文件程序和反编译逆向的过程中，帮我们脱掉程序的壳代码，从而方便去分析该程序的关键代码。

壳的理解：

壳是在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

加壳的全称是可执行程序资源压缩，是保护文件的常用手段，是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。加壳过的程序可以直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。

两种脱壳方式：

目前脱壳一般分手动和自动两种，手动就是通过调试工具脱壳，涉及到很多汇编语言和软件调试方面的知识；自动就是用专门的脱壳工具，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，则需要UNASPACK对付。

软件自动脱壳的好处是简单，但缺点一是不能解决部分手写壳，二是壳代码更新后，之前的脱壳工具就会失效。

认识OEP：

OEP：程序的入口点。软件加壳一般隐藏了程序真实的OEP，我们需要寻找程序真正的OEP，才可以完成脱壳。

一般加壳程序在使用Ollydbg等动态调试工具时，会停在壳的预处理块。即在运行完程序自脱壳模块后，会停留在程序加壳之前的OEP位置，此时是dump程序的最佳时期。脱壳时在真实OEP处下断点就可以捕捉到程序代码段完全恢复的状态。因此，寻找加壳程序的正确OEP，就是手动脱壳的关键点。

关于IAT：

IAT：为导入地址表。因为导入函数就是被程序调用但其执行代码又不在程序中的函数，这些函数的代码位于一个或者多个DLL文件中。当PE文件被装入内存的时候，Windows装载器才将DLL 装入，并将调用导入函数的指令和函数实际所处的地址联系起来（动态连接），这操作就需要导入表完成。导入地址表就指示函数实际地址。多数加壳软件在运行时会重建导入地址表，因此获取加壳程序正确的导入地址表也是手动脱壳操作中的另一个关键。

下面介绍几种常用的手动脱壳方法

1. 单步跟踪法

单步跟踪法的原理就是通过Ollydbg的单步（F8）、单步进入（F7）和运行到（F4）功能，完整走过程序的自脱壳过程，跳过一些循环恢复代码的片段，并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后，到达OEP，并dump程序。

2. ESP定律法（最常用的方法）

ESP定律的原理是指程序中堆栈平衡的合理利用。在程序自解密或者自解压过程中，壳会先将当前寄存器内容压栈，如使用pushad，在解压结束后，会将之前的寄存器值出栈，如使用popad。因此在寄存器出栈时，往往程序代码被自动恢复，此时硬件断点触发。然后在程序当前位置，只需要少许单步跟踪（即F7），程序就很容易到达正确的OEP位置。

3. 内存镜像法（二次断点法）

内存镜像法是在加壳程序被加载时，通过OD的ALT+M快捷键，进入到程序虚拟内存区段。然后通过加两次内存一次性断点，到达程序正确OEP的位置。

内存镜像法的原理在于对于程序资源段和代码段下断点，一般程序自解压或者自解密时，会首先访问资源段获取所需资源，然后在自动脱壳完成后，转回程序代码段。这时候下内存一次性断点，程序就会停在OEP处。

4. 一步到达OEP

所谓的一步到达OEP的脱壳方法，是根据所脱壳的特征，寻找其距离OEP最近的一处汇编指令，然后下int3断点，在程序走到OEP的时候dump程序。如一些压缩壳往往popad指令距离OEP或者Magic Jump特别近，因此使用Ollydbg的搜索功能，可以搜索壳的特征汇编代码，达到一步断点到达OEP的效果。