【笔记】恶意代码分析实战-18(加壳与脱壳)

已于 2024-01-11 10:35:40 修改
阅读量210 收藏
点赞数
文章标签: 笔记
于 2023-11-09 21:27:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880501/article/details/134170354
版权

加壳与脱壳

加壳可执行文件的两个主要目的是缩减程序的大小阻碍对加壳程序的探测与分析。虽然加壳器的种类繁多,但是它们都遵循相似的模式:将一个可执行文件转换创建一个新的可执行文件,被转换的可执行文件在这个新的可执行文件中作为数据存储,另外新的可执行文件还包括一个供操作系统调用的脱壳存根(stub)

基础概念

多数加壳器用压缩算法压缩原始文件,加壳器既可以打包整个可执行文件,包括所有的数据和资源节,也可以打包代码节和数据节。

【1】脱壳存根stub

操作系统加载被加壳程序的stub,stub加载原始程序。可执行程序入口点指向stub。原始程序通常存储在加壳程序的一个或多个附加的节中。
stub功能:脱壳原始程序。
stub执行步骤:

  1. 将原始程序脱壳到内存中。
  2. 解析原始可执行程序的所有导入函数。
  3. 将可执行程序转移到原始的程序入口点(oep)。

【2】解析导入函数表

未加壳程序中有一个节段告诉加载器需要导入哪些函数,同时还有一个节存储需要导入的函数名字和地址。

  1. stub最常使用LoadLibrary和GetProcAddress函数,在stub脱壳出原始可执行文件后,stub调用LoadLibrary导入每个库,GetProcAddress获取每个函数的内存地址。
  2. 保持原始导入函数表的完整,让windows加载器能够加载所有dll和导入函数,缺乏隐蔽性、压缩性也不理想。
  3. 为原始导入表的每个DLL保留一个导入函数,分析时仍能够看到原始可执行文件所有的导入库。stub不需要在加载导入库,但是仍需要解析大部分导入函数。
  4. 不导入任何函数。加壳程序自己从库中找到所有需要的函数或者先找到LoadLibrary和GetProcAddress函数,然后定位其他的库。

【3】尾部跳转

尾部跳转详细
5. jmp
6. ret/call
7. NtContiue/ZwContinue

	加壳程序可以用熵值计算的技术探测,加壳程序熵值高,未加壳熵值低。

【4】脱壳方法

  1. 自动静态脱壳:不运行可执行文件,仅仅针对某个壳,并且对那些用来阻碍分析的壳无效。
  2. 自动动态脱壳:自动的动态脱壳程序运行可执行文件、并让脱壳存根脱出原始的可执行文件。一旦原始的可执行文件被脱壳,它将被写入硬盘,然后脱壳程序重构原始的导入表。自动的脱壳程序必须确定脱壳存根的结束位置,原始可执行文件的开始位置,但这非常困难。当脱壳程序不能正确识别脱壳存根的结束位置时,脱壳就会生败。
  3. 手动脱壳

【5】 手动脱壳

(1)查找oep
  1. 可以通过检测从一个节到另一个节的跳转检测oep,或者通过call没有返回定位oep。
  2. 查找尾部跳转指令(一串无效字节指令前的最后一条有效指令,填充这些字节为了保证节的字节对齐)。
  3. 通过esp定律(必由于OllyDbg的界面不允许在栈窗口中设置断点,所以需要在内存转储窗口中查看栈的地址,然后在窗口中设置断点。)。
  4. 在GetProcAddress下断点,再向后找oep。
  5. 查找OEP的最后一个策略是使用OllyDbg的Run Trace选项。Run Trace提供一些额外的断点选项,这使得你能够在较大范围的内存地址上设置断点。例如,很多加壳程序都会留下原始文件的.text节。通常,硬盘上的.text节没有任何东西,但是这个节被保留在PE文件头部,使得加载器能够在内存中为它创建空间。OEP总是位于原始文件的.text节中,通常它是这个节中第一条被调用的指令。Run Trace选项可以让你设置这样一个断点,无论何时执行.text节中的指令,此断点都能被触发。一旦断点被触发,也就找到了OEP。
(2)手动修复导入表

[6]不完全脱壳情况下分析

由于不能完全修复导入表和PE头部,从而导致一个脱壳应用程序无法正常运行。这种情况下,将程序转储到硬盘,使用IDA Pro分析特定的某个节,首先导航一个内存地址,然后将这个段记为代码。也可以在程序上运行Strings,可能会发现导入函数和其他一些导入信息。

[6]加壳dll

DLL的导出表指向导出函数地址,如果DLL被加壳,那么导出函数也会被加壳。加壳程序必须考虑到这一点,确保DLL正常运行。

脱壳DLL与脱壳EXE没有明显的不同。关键要记住与可执行文件一样,DLL也有一个OEP。所有DLL都有一个叫作DllMain的函数,当DLL加载时它会被调用。DLL中的OEP是D11Main原始函数的开始地址,加壳DLL列出的开始地址是脱壳存根中的一个地址,它位于DllMain中而不是主方法中。OllyDbg可以加载DLL,并且OllyDbg有一个叫作LoadDll.exe的工具,利用这个工具可以加载或者调试DLL。问题在于DllMain方法在OllyDbg中断它运行之前被调用。中断发生时,脱壳存根已经运行,这将很难找到OEP。

为了解决这个问题,打开PE文件,定位到IMAGE_FILE_HEADER节的特征标志域,如果IMAGE_FILE_HEADER节Ox2000处的比特位为1,则表示这个PE文件是DLL。如果这个标志位为0,则这个文件被解释为一个可执行文件。OllyDbg像打开EXE文件一样打开这个程序,然后采用我们本章讨论的任何一种策略。当你找到OEP后,改回比特的标志,以确保这个程序被当作DLL对待。

Orcinus p
关注
[系统安全] 恶意代码分析实战基础之必备知识点和常用工具记录
H4ppyD0g的博客
01-06 3107
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。 前文链接 [系统安全] PE文件格式详解1 [系统安全] PE文件格式详解2 [系统安全] Windbg Preview调试记录 [系统安全]《黑客免杀
加壳检查工具 加壳检查工具 加壳检查工具
10-29
检查 程序是否有加壳 或有后门 很好用的 东西 实用 傻瓜试
恶意代码分析-第十八章-加壳脱壳
每昔的博客
09-10 2469
目录 笔记: 实验: Lab18-1 Lab18-2 Lab18-3 笔记: 壳的功能:缩减程序的大小,阻碍对加壳程序的探测和分析 解析函数导入表:1.仅导入LoadLibrary和GetProcessAddress两个函数。先脱出原始文件,再读取原始可执行文件的导入函数信息。                               2.保持原始导入函数表的完整,让Windo...
黑客逆向破解基础-3:如何识别程序加的什么壳
JankinChan的博客
07-25 1万+
目前来说windows程序状态大体可以分为以下几种类型:未加壳、压缩壳、传统加密壳、代码虚拟化保护、.Net程序加密。 识别程序加的什么壳目前常用的方法有以下两个: 1.使用查壳工具:如PEiD、Exeinfo PE等查壳工具。 这些工具内置各种壳的十六进制特征码进行对比查壳。 下面说下这些工具各自的优缺点: (1) PEiD、FFI、FastScanner、RDG Packer Detector...
恶意代码分析实战 15 加壳脱壳
农夫果园好好喝的博客
01-25 516
分析样本Lab18-01.exe到Lab18-05.exe。
一款好用的DLL文件加壳工具
03-15
实现dll文件函数混淆加密等功能,防止库文件被反编译,亲测有效
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3588
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
学习笔记-第十八章 恶意代码分析实战
Yes_butter的博客
04-09 646
第十八章 加壳脱壳 加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。 1.剖析加壳 恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。 要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳 器的工作原理。 所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可 执行文件经过压缩,加密或者其...
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1336
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
安卓逆向学习笔记之安卓APP加壳技术分类与初识VMP.docx
最新发布
04-01
### 安卓APP加壳技术概述 随着移动互联网的发展,Android应用越来越受到用户的青睐,但同时也面临着盗版、破解等问题。为了保护应用不被非法篡改或破解,开发者常常采用加壳技术对应用进行保护。本文主要探讨...
著名的加壳工具Nspack,这是3.7版,压缩也很不错,不多介绍了。Nspack3.7
04-28
著名的加壳工具Nspack,这是3.7版,压缩也很不错,不多介绍了。Nspack3.7
c# exe dll 加壳 工具
04-01
.NET Reactor 是一款强大的 .NET 代码保护和授权管理系统,安全可靠、简单易用,主要用来帮助开发人员保护他们的 .NET 软件产品。开发人员从此不必担心如何保护他们的知识产权,可以将更多精力放在产品功能的开发上。 与代码混淆工具(Obfuscator)相比,.NET Reactor 可以完全阻止对 .NET 程序集(由 C#, VB.NET, Delphi.NET, J#, MSIL… 等语言编写)的反编译。通俗的讲,.NET Reactor 在破解者和您的 .NET 代码之间构建了强大的防破解保护屏障,生成一个基于 Windows 的而不是基于 MSIL 的兼容格式文件。原始的 .NET 代码完整的封装在本地代码内,无论何时都不会释放到硬盘,对于破解者是不可见的,目前还没有任何工具可以反编译 .NET Reactor 保护过的程序集。 ***注**** 只为学习使用 版权归原公司所有,如感兴趣请与版权所有人联系。
安全防御 --- 恶意代码、防病毒
热门推荐
weixin_62443409的博客
04-05 1万+
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件。计算机病毒运行染毒的宿主程序,病毒夺取控制权;将病毒程序嵌入感染目标中。
恶意代码加壳
weixin_30599769的博客
10-29 677
混淆程序是恶意代码编写者用于隐藏其执行过程的代码。加壳程序是混淆程序中的一类,加壳之后的程序会被压缩,使得含义分析。 判断程序是否加壳的一个模糊的判别规则是,正常程序中的字符串往往会很多,而被加壳或混淆后的程序能够获取到的,能直接打印出的字符串却很少。 注意 加壳和混淆代码通常至少会带有LoadLibrary和GetProcAddress函数,主要是用于加载和使用其他函数的功能。 在加壳程序运行前...
Android漏洞之战——整体加壳原理和脱壳技巧详解
q2919761440的博客
08-17 1526
为了帮助更加方便的进行漏洞挖掘工作,前面我们通过了几篇文章详解的给大家介绍了动态调试技术、过反调试技术、Hook技术、过反Hook技术、抓包技术等,掌握了这些可以很方便的开展App漏洞挖掘工作,而最后我们还需要掌握一定的脱壳技巧,进行进一步助力我们漏洞挖掘的效率,本文主要介绍Android App加壳中的整体dex加壳,帮助大家掌握加壳的原理和脱壳的各种技能。本文第二节主要讲述Android启动流程和加壳原理本文第三节主要介绍整体加壳的实现本文第四节主要讲当下脱壳点的概念。
dll加壳
ORANCLE
09-18 6836
最近项目用到了vmprotected对dll插件进行加壳,在测试阶段使用peid0.95进行检测是否加壳,使用完毕了,一脸懵逼。突然想起来,就查资料了解记录一下吧 一。什么是壳 一段专门负责保护软件不被非法修改和反编译的程序。一般先于程序运行,拿到控制权,然后完成保护软件的任务。 二。壳的加载过程 加壳工具是指压缩可执行文件EXE或DLL的工具。加壳过的可执行程序执行的实际是外壳程序,外壳
脱壳学习记录----DLL找OEP
qq_42192672的博客
09-13 1607
还是做一些加密解密3的学习记录 文件链接:https://pan.baidu.com/s/1-KiagpsimjDBsyMF01ouxA 密码:tt8u 工具链接:https://pan.baidu.com/s/14dP_ksqM8WvTnKxCZ18xUw 密码:qqr5 DLL文件脱壳相比于EXE脱壳困难一些 先压缩,要是失败了,就找别的工具吧 用PEEditor查看一下加壳后的DL...
20202409 2022-2023-2 《网络与系统安全技术》实验四报告
m0_53980546的博客
04-26 431
本次实验内容比较丰富,用到了许多分析软件,结合相关学习资料进行深入学习会发现其涉及到的知识也同样众多,需要静下心来研究才能搞明白。本次实验不仅让我见识了五花八门的分析手段,还同时让我了解了种种样样的攻击方法,我不得不感慨,网络安全领域真的需要过硬的知识本领的加持,路漫漫其修远兮,吾将上下而求索!参考资料关于cygwin的基本配置与基本操作实验相关操作的参考博客1实验相关操作的参考博客2常见高危端口process explorer下载。
强大的.NET加壳工具——ILProtector
godvmxi的专栏
06-13 2215
ILProtector是一个你的.NET应用的程序,为了保护您的软件的知识产权。 ILProtector保护你的.NET应用不被逆向工程、反编译和修改的网络代码。ILProtector将中间语言(MSIL)代码转换为一种特定的形式,它将不会被反汇编器或反编译器如IL DASM,.NET Reflector,ILSpy, dotPeek等识别。 (以上文字翻译自官方网站,emmmm,第一次人工翻译) 主要特性: Main Features - Software code protection ..
API哈希匹配:恶意代码动态分析技术
"这篇文档是关于恶意代码分析中的API Hash反静态分析技术,主要讨论了如何在Windows平台上通过API函数来识别和分析恶意软件。文中以Sodinokibi/REvil勒索软件为例,解释了API Hash匹配的原理和反静态分析技巧,并...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值