本文介绍了程序加壳技术,包括加密壳和压缩壳,重点讲解了UPX压缩壳的工作原理和手动脱壳过程。手动脱壳涉及找到原始程序入口地址,设置硬件断点,以及如何在调试中逐步解析原始汇编代码。UPX作为常见的压缩壳,通过调试可以找到原始代码起点,进而完成脱壳。此外,手动脱壳还包括将程序脱壳到文件并修复运行的进阶目标。
什么是加壳
加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。
其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。
加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。
UPX脱壳
加壳可执行文件 UPX sample.exe
脱壳执行文件 UPX -d sample.exe (很多时候不管用)
所以要学会手动脱壳
手动脱壳的目标:
1.找到原始程序的入口地址 (OEP)
2.再原始程序入口地址处设置硬件断点(下次调试可快快速进入原始代码,硬件调试不会修改数据)
进阶目标:
脱壳到文件,并修复运行。
脱壳步骤
先查壳:
发现是UPX壳,然后用IDA打开
发现也是无法静态分析出来,于是我们就开始调试。
由于前面已经讲过UPX是个压缩壳,我们只需要找到这个程序头部的压缩代码的终点(也就是原始代码的起点即可)
在一直单步过发现有return 或 end 之类的命令之后直接单步进入。
进入之后就发现了原始的汇编代码,但是无法查看其伪代码,需要新建一个函数,然后就可以查看伪代码了。
这样就完成了手动脱UPX壳
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
