分析
使用StudyPE查看pe文件
下面的文件类型显示有一个UPX的壳
什么是壳?
程序加壳(Software Packing)是一种计算机安全和反逆向工程领域的技术,用于保护软件免受逆向工程、破解和未经授权的修改。加壳是通过在原始可执行文件周围包装一层额外的代码(壳)来实现的,这个壳在运行时负责解密、加载和执行原始程序
壳的种类也很多
不同种类的壳功能也不同
像这个UPX的壳就是压缩壳,可以有效的压缩程序的体积,在分析该程序之前我们就需要先去壳才行
我们知道是UPX的壳,所以可以直接使用脱壳工具一键去壳即可,这里我使用x64dbg手动进行脱壳
解题
首先我们需要有x64dbg进行调试
进入发现是系统模块
点击断点选项卡
发现有两个断点
可以看到一个pushd的断点,删除其他的断点,留下pushad这个断点
运行
ESP脱壳定律
程序刚开始加载的时候,最先开始就是执行壳程序,壳程序将所有的寄存器进行压栈,保存壳执行前所有寄存器的状态。最后的时候通过popad指令恢复,最后经过一个大跳转到OEP(Original Entry Point | 原始入口点)
经过运行之后可以看到有一个 pushad
,然后步过一下发现右边的ESP寄存器发生了变化
PUSHAD 是 x86 汇编语言中的一个指令,用于将所有通用寄存器的值入栈。这个指令会将 EAX、ECX、EDX、EBX、ESP、EBP、ESI 和 EDI 寄存器的当前值按照从高到低的顺序依次压入栈中
右键进入到内存窗口
前4个字节就是EDI的值,选中前4个字节右键断点,4字节
可以看到就有个硬件断点
点击运行
可以看到上一条指令就是popad指令,恢复所有寄存器
给下面的jmp下个断点,jmp之后就是原本真真的程序
一直运行到jmp,然后单步一下
利用scylla将这个程序从内存dump出来
保存之后再Fix Dump,选择dump出来的那个文件
然后再同目录下会出现SCY结尾的一个程序,这个就是脱壳之后的程序,使用IDA32打开
一眼盯真
flag{HappyNewYear!}