本人小白,请各位师傅斧正
有师傅问我如何手动脱壳,虽然手脱过几个exe,但我以前一直没有仔细研究过手动脱壳,一直以来都是简单的找push ebp mov ebp,esp。今天做几个简单的讨论。
一,我自己用C语言写了一个最简单的helloworld程序,分32位和64位两种,upx3.94加壳,用的是x64dbg,本来还想研究一下upx1和2和3有什么区别,结果在3.90以前的版本加壳时遇到了报错,我遇到了两种报错,一种是pe头value错误,一种是tls报错,没有仔细研究为何报错。
二,具体如何脱壳就不赘述了,教程都有,本文主要探讨手动脱壳中的问题。多次调试后,我发现,程序最开始ep进入后会有一段dll载入与调用,而非exe的代码段,因为helloworld非常短,有个坏处,就是进入真正ep的代码非常短,helloworld打印出来前面稍不留神就会错过代码,导致重新调试。
三,(可能会随着环境的不同而不同)程序的dll和exe两部分,姑且让我这么说,有非常明显的特征,exe是让人赏心悦目的401000左右,dll地址非常大,但是用途不大,其中有一个回调,但不是tls,在这个回调之后单步进入才能找到真正代码段,因为helloworld非常短,接下来就是简单的找push ebp过程了。
四,32位和64位除了长度外并无明显差异,但最后我脱壳出来(我确信是找到了真正的函数位置,dump下来)放入ida中查看时虽然能看到函数,但其segment是upx0,之前是upx1,也就是说我并未完全脱掉,虽然现在能看到正确的字符串和代码段,但其跳转分支非常多,对逆向分析十分不友好。请各位师傅指点一下怎样正确地脱壳。