什么是加壳
加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。
其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。
加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。
UPX脱壳
加壳可执行文件 UPX sample.exe
脱壳执行文件 UPX -d sample.exe (很多时候不管用)
所以要学会手动脱壳
手动脱壳的目标:
1.找到原始程序的入口地址 (OEP)
2.再原始程序入口地址处设置硬件断点(下次调试可快快速进入原始代码,硬件调试不会修改数据)
进阶目标:
脱壳到文件,并修复运行。
脱壳步骤
先查壳:
发现是UPX壳,然后用IDA打开
发现也是无法静态分析出来,于是我们就开始调试。
由于前面已经讲过UPX是个压缩壳,我们只需要找到这个程序头部的压缩代码的终点(也就是原始代码的起点即可)
在一直单步过发现有return 或 end 之类的命令之后直接单步进入。
进入之后就发现了原始的汇编代码,但是无法查看其伪代码,需要新建一个函数,然后就可以查看伪代码了。
这样就完成了手动脱UPX壳