首页
先给大家讲讲软件壳的知识
什么是壳
因为许多软件为了保护自己的软件不被破解和修改,通常会加壳,代码加密,增加破解的难度,从而达到保护软件的目的。
因为以“壳”为主题,所以如果我连什么是“壳”都讲不清楚的话,那我还是去搬砖吧..
首先大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负
责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。举个例子,核桃大家都知道吧,想要吃到里面的肉,就必须得先打开核
桃外面那一层坚硬的壳,同样,外面想要看到一个程序的内部逻辑代码,就要脱掉外面的一层壳。
程序作者在编好软件后,编译成exe可执行文件。有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。 需要把程序搞的
小一点,缩小程序的体积,减少内存容量,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些
称为加壳。自然有加壳就会有脱壳。
为什么要脱壳
脱壳是为了能够学习一个软件的程序设计逻辑,达到我们想要的目的。如果不脱壳,我们就不能够了解软件的逻辑,也就无法得到源代码,也就无法破解一个软件,也就不会有这篇
文章了。
我们拿到一个软件想要了解它的编程逻辑,那么我们就需要对它进行反汇编,当然有壳,也必须先脱壳(有些软件也可以不脱壳破解)。如果我们需要对一个病毒或者木马进行分析,也是需要
脱壳的,如果病毒木马不加壳,早被杀毒软件杀掉了。。。。
一些常见的壳
1.aspack壳
2.caspr
2.upx壳
3.PEcompact壳
等等...
我们要脱壳,就需要用到一些汇编的指令,这是必须的,如果不懂汇编指令的话,那么就无法进行软件的脱壳了。
这节课的重点主要是以下的指令:
MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
ADD 加法.
ADC 带进位加法.
INC 加 1.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
NEC 求反(以 0 减之).
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).
DIV 无符号除法.
IDIV 整数除法.
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).
JMP 无条件转移指令
CALL 过程调用
RET/RETF过程返回.
JA/JNBE 不小于或不等于时转移.
JAE/JNB 大于或等于转移.
JB/JNAE 小于转移.
JBE/JNA 小于或等于转移.
JG/JNLE 大于转移.
JGE/JNL 大于或等于转移.
JL/JNGE 小于转移.
JLE/JNG 小于或等于转移.
JE/JZ 等于转移.
JNE/JNZ 不等于时转移.
JNC 无进位时转移.
JNO 不溢出时转移.
JNP/JPO 奇偶性为奇数时转移.
JNS 符号位为 "0" 时转移.
NOP 空操作.
下面是脱壳的方法,都是前人总结出来的。
我们脱壳的工具目前是依据OD来的。本课讲的脱壳知识不一定会脱掉所有的壳,望知晓。
什么是OEP
OEP是原程序的入口点,也就是壳把程序的控制权交给源程序的入口点。所以我们脱壳的目的就是找到源程序的入口点,也就是OEP。
一、单步跟踪法
脱壳方法中最基础的就是单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,一步步执行下去,在单步跟踪的时候需要跳过一些的指令。比如向回跳的指令。最后找到OEP并从OD中dump出来。
单步跟踪步骤:
1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;
2、一路向下跟踪,实现执行向下的跳转;
3、遇到程序往上跳转的时候,在回跳的下一句代码上单击并按键盘上的“F4”键跳过回跳指令;
4、刚载入程序的时候,如果在附近有一个CALL指令,那么就要跟进到CALL内,不然程序很容易运行起来,并且还容易程序跑飞,进入壳的内部。
5、遇到在popad指令或者有远跳指令时,要注意一下,因为popad指令和远跳指令的目的地很可能就是OEP。
6、利用OD把程序dump出来,如果程序损坏还要修复。
===============================================================
二、ESP定律法
ESP定律法是国外的人发现的。ESP定律可以脱掉大多数的压缩壳。
ESP定律步骤:
1、将待脱壳程序载入到OD中,开始就按键盘上的“F8”键单步跟踪一步,这时如果看到OD右边的寄存器窗口中的ESP寄存器的值有没有变为红色,如果发现ESP寄存器的值变为红色。
2、在OD的命令行窗口中执行命令hr esp,esp就是变为红色的ESP寄存器的值,当然hr esp也是可以的,在输入命令之后回车;
3、按“F9”让程序运行起来;
4、按住'F7'向下走几步就可以看到OEP了。
5、脱壳修复
===============================================================
三、二次断点法
二次断点是区段里下两个断点,在两个断点之后就可以找到OEP。
二次断点法步骤:
1、将待脱壳程序载入到OD中,单击OD的“选项”菜单下的“调试设置”命令,在弹出的“调试选项”对话框中切换到“异常”选项卡,勾选该选项卡下的所有复选框忽略所有异常;
2、按“ALT+M”打开OD的内存窗口,也可以在窗口中鼠标点击M;
3、在OD的内存窗口中找到“.rsrc”区段,单击该区段后按“F2”在该区段上下一断点;
4、按“Shift+F9”让程序运行到断点处,而后再次打开OD的内存窗口,这次在“.rsrc”区段上面的“.code”区段(有的时候就是其他的区段名,比如“.text”,“.codes”)上下一个断点;
5、按“shift+F9”让程序运行到第二次下的断点处,然后单步跟踪就可以来到OEP的地方。
6、脱壳修复
===============================================================
四、末次异常法
所谓末次异常法又被称为最后一次异常法,末次异常法脱壳很是简单,
末次异常法步骤:
1、将待脱壳程序载入到OD中,单击OD的“选项”菜单,在弹出的菜单中单击“调试设置”命令,在随后弹出的“调试选项”对话框中切换到“异常”选项卡,取消该选项卡下所有复选框,不忽略任何异常;
2、连续按“Shift+F9”让程序运行起来,记录按键的次数X;
3、回到OD中,按住“Ctrl+F2”组合键重新载入程序,按X-1次“Shift+F9”组合键;
4、在OD右下角窗口中找到“SE句柄”或是“SE处理程序”,记录此处的内存地址;
5、在OD的反汇编窗口中跟随到上一步记录下的内存地址,并在此内存地址处下一个断点;
6、按“Shift+F9”让程序运行到上一步下的断点处,按“F2”取消此处的断点;
7、使用单步跟踪找到到OEP。
8、脱壳修复
===============================================================
五、模拟跟踪法
模拟跟踪法,顾名思义就是模拟单步跟踪来进行查找OEP的地址。
模拟跟踪法步骤:
1、将待脱壳程序载入OD中,先简单的跟踪一下程序,看看壳的大致流程和有没有暗桩之类的陷阱,阻碍我们脱壳;
2、按“ALT+F9”打开OD的内存窗口,找到“SFX,输入表,资源”的这一行,记录此行的内存地址;
3、在OD的命令行窗口执行命令“tc eip(上一步记录下的内存地址)”,命令执行后慢慢的跟踪到OEP。
4、脱壳修复
===============================================================
六、SFX自动脱壳法
SFX自动脱壳法能快速有效的将程序的壳脱掉。
SFX自动脱壳法步骤:
1、将OD设置为忽略所有异常;
2、在OD的“调试选项”对话框的“SFX”选项卡中选择“字节模式跟踪实际入口”选项并确定;
3、将待脱壳程序载入OD,待程序载入完成后,会直接停在OEP处。
4、脱壳修复
===============================================================
七、出口标志法
出口标志法就是在载入一个程序的时候,开始的时候有这么一条指令,pushad,这一条指令的意思是说保存所有的寄存器,结合第二课的知识我们可以知道popad就是恢复所有的寄存器,我们直接找到popad,向下走几步就可以来到OEP了。
出口标志法脱壳步骤:
1、将待脱壳程序载入OD中,在OD的反汇编窗口中右键菜单中单击“查找”→“所有命令”,在弹出的输入框中输入“popad”并按“查找”按钮;
2、逐一尝试跟踪查找到的所有“popad”指令,因为壳里有可能不止一个popad,所以我们需要逐一尝试,方可追踪到正确的popad。
3、脱壳修复
===============================================================
八、使用脱壳脚本辅助脱壳
在脱壳的时候,使用脱壳脚本辅助脱壳可以提高脱壳的效率。更是因为方便。脱壳脚本是高手们为了方便自己或他人脱壳,把自己手动脱壳的步骤记录下来,保存的一个文本文档。
但是不建议新手使用,因为我们要先了解了脱壳的方法,熟练过后在自己写或者用别人的脚本。
===============================================================
九、使用脱壳工具脱壳
脱壳工具其实和脱壳脚本一样,工具就是根据脱壳脚本来写的。
脱壳工具很多,这里只介绍最为实用的全自动脱壳机——超级巡警脱壳工具。
超级巡警脱壳工具的工作方法:
超级巡警脱壳工具会自动侦测待脱壳程序所加的壳头,从而判断出带脱壳程序是用哪种壳程序加壳的。如果超级巡警脱壳工具支持对该壳的脱壳,就可以很方便的将程序的壳脱掉;如果不支持对该壳的脱壳,则会给我们一个简单明了的提示。
什么是壳
因为许多软件为了保护自己的软件不被破解和修改,通常会加壳,代码加密,增加破解的难度,从而达到保护软件的目的。
因为以“壳”为主题,所以如果我连什么是“壳”都讲不清楚的话,那我还是去搬砖吧..
首先大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负
责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。举个例子,核桃大家都知道吧,想要吃到里面的肉,就必须得先打开核
桃外面那一层坚硬的壳,同样,外面想要看到一个程序的内部逻辑代码,就要脱掉外面的一层壳。
程序作者在编好软件后,编译成exe可执行文件。有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。 需要把程序搞的
小一点,缩小程序的体积,减少内存容量,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些
称为加壳。自然有加壳就会有脱壳。
为什么要脱壳
脱壳是为了能够学习一个软件的程序设计逻辑,达到我们想要的目的。如果不脱壳,我们就不能够了解软件的逻辑,也就无法得到源代码,也就无法破解一个软件,也就不会有这篇
文章了。
我们拿到一个软件想要了解它的编程逻辑,那么我们就需要对它进行反汇编,当然有壳,也必须先脱壳(有些软件也可以不脱壳破解)。如果我们需要对一个病毒或者木马进行分析,也是需要
脱壳的,如果病毒木马不加壳,早被杀毒软件杀掉了。。。。
一些常见的壳
1.aspack壳
2.caspr
2.upx壳
3.PEcompact壳
等等...
我们要脱壳,就需要用到一些汇编的指令,这是必须的,如果不懂汇编指令的话,那么就无法进行软件的脱壳了。
这节课的重点主要是以下的指令:
MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
ADD 加法.
ADC 带进位加法.
INC 加 1.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
NEC 求反(以 0 减之).
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).
DIV 无符号除法.
IDIV 整数除法.
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).
JMP 无条件转移指令
CALL 过程调用
RET/RETF过程返回.
JA/JNBE 不小于或不等于时转移.
JAE/JNB 大于或等于转移.
JB/JNAE 小于转移.
JBE/JNA 小于或等于转移.
JG/JNLE 大于转移.
JGE/JNL 大于或等于转移.
JL/JNGE 小于转移.
JLE/JNG 小于或等于转移.
JE/JZ 等于转移.
JNE/JNZ 不等于时转移.
JNC 无进位时转移.
JNO 不溢出时转移.
JNP/JPO 奇偶性为奇数时转移.
JNS 符号位为 "0" 时转移.
NOP 空操作.
下面是脱壳的方法,都是前人总结出来的。
我们脱壳的工具目前是依据OD来的。本课讲的脱壳知识不一定会脱掉所有的壳,望知晓。
什么是OEP
OEP是原程序的入口点,也就是壳把程序的控制权交给源程序的入口点。所以我们脱壳的目的就是找到源程序的入口点,也就是OEP。
一、单步跟踪法
脱壳方法中最基础的就是单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,一步步执行下去,在单步跟踪的时候需要跳过一些的指令。比如向回跳的指令。最后找到OEP并从OD中dump出来。
单步跟踪步骤:
1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;
2、一路向下跟踪,实现执行向下的跳转;
3、遇到程序往上跳转的时候,在回跳的下一句代码上单击并按键盘上的“F4”键跳过回跳指令;
4、刚载入程序的时候,如果在附近有一个CALL指令,那么就要跟进到CALL内,不然程序很容易运行起来,并且还容易程序跑飞,进入壳的内部。
5、遇到在popad指令或者有远跳指令时,要注意一下,因为popad指令和远跳指令的目的地很可能就是OEP。
6、利用OD把程序dump出来,如果程序损坏还要修复。
===============================================================
二、ESP定律法
ESP定律法是国外的人发现的。ESP定律可以脱掉大多数的压缩壳。
ESP定律步骤:
1、将待脱壳程序载入到OD中,开始就按键盘上的“F8”键单步跟踪一步,这时如果看到OD右边的寄存器窗口中的ESP寄存器的值有没有变为红色,如果发现ESP寄存器的值变为红色。
2、在OD的命令行窗口中执行命令hr esp,esp就是变为红色的ESP寄存器的值,当然hr esp也是可以的,在输入命令之后回车;
3、按“F9”让程序运行起来;
4、按住'F7'向下走几步就可以看到OEP了。
5、脱壳修复
===============================================================
三、二次断点法
二次断点是区段里下两个断点,在两个断点之后就可以找到OEP。
二次断点法步骤:
1、将待脱壳程序载入到OD中,单击OD的“选项”菜单下的“调试设置”命令,在弹出的“调试选项”对话框中切换到“异常”选项卡,勾选该选项卡下的所有复选框忽略所有异常;
2、按“ALT+M”打开OD的内存窗口,也可以在窗口中鼠标点击M;
3、在OD的内存窗口中找到“.rsrc”区段,单击该区段后按“F2”在该区段上下一断点;
4、按“Shift+F9”让程序运行到断点处,而后再次打开OD的内存窗口,这次在“.rsrc”区段上面的“.code”区段(有的时候就是其他的区段名,比如“.text”,“.codes”)上下一个断点;
5、按“shift+F9”让程序运行到第二次下的断点处,然后单步跟踪就可以来到OEP的地方。
6、脱壳修复
===============================================================
四、末次异常法
所谓末次异常法又被称为最后一次异常法,末次异常法脱壳很是简单,
末次异常法步骤:
1、将待脱壳程序载入到OD中,单击OD的“选项”菜单,在弹出的菜单中单击“调试设置”命令,在随后弹出的“调试选项”对话框中切换到“异常”选项卡,取消该选项卡下所有复选框,不忽略任何异常;
2、连续按“Shift+F9”让程序运行起来,记录按键的次数X;
3、回到OD中,按住“Ctrl+F2”组合键重新载入程序,按X-1次“Shift+F9”组合键;
4、在OD右下角窗口中找到“SE句柄”或是“SE处理程序”,记录此处的内存地址;
5、在OD的反汇编窗口中跟随到上一步记录下的内存地址,并在此内存地址处下一个断点;
6、按“Shift+F9”让程序运行到上一步下的断点处,按“F2”取消此处的断点;
7、使用单步跟踪找到到OEP。
8、脱壳修复
===============================================================
五、模拟跟踪法
模拟跟踪法,顾名思义就是模拟单步跟踪来进行查找OEP的地址。
模拟跟踪法步骤:
1、将待脱壳程序载入OD中,先简单的跟踪一下程序,看看壳的大致流程和有没有暗桩之类的陷阱,阻碍我们脱壳;
2、按“ALT+F9”打开OD的内存窗口,找到“SFX,输入表,资源”的这一行,记录此行的内存地址;
3、在OD的命令行窗口执行命令“tc eip(上一步记录下的内存地址)”,命令执行后慢慢的跟踪到OEP。
4、脱壳修复
===============================================================
六、SFX自动脱壳法
SFX自动脱壳法能快速有效的将程序的壳脱掉。
SFX自动脱壳法步骤:
1、将OD设置为忽略所有异常;
2、在OD的“调试选项”对话框的“SFX”选项卡中选择“字节模式跟踪实际入口”选项并确定;
3、将待脱壳程序载入OD,待程序载入完成后,会直接停在OEP处。
4、脱壳修复
===============================================================
七、出口标志法
出口标志法就是在载入一个程序的时候,开始的时候有这么一条指令,pushad,这一条指令的意思是说保存所有的寄存器,结合第二课的知识我们可以知道popad就是恢复所有的寄存器,我们直接找到popad,向下走几步就可以来到OEP了。
出口标志法脱壳步骤:
1、将待脱壳程序载入OD中,在OD的反汇编窗口中右键菜单中单击“查找”→“所有命令”,在弹出的输入框中输入“popad”并按“查找”按钮;
2、逐一尝试跟踪查找到的所有“popad”指令,因为壳里有可能不止一个popad,所以我们需要逐一尝试,方可追踪到正确的popad。
3、脱壳修复
===============================================================
八、使用脱壳脚本辅助脱壳
在脱壳的时候,使用脱壳脚本辅助脱壳可以提高脱壳的效率。更是因为方便。脱壳脚本是高手们为了方便自己或他人脱壳,把自己手动脱壳的步骤记录下来,保存的一个文本文档。
但是不建议新手使用,因为我们要先了解了脱壳的方法,熟练过后在自己写或者用别人的脚本。
===============================================================
九、使用脱壳工具脱壳
脱壳工具其实和脱壳脚本一样,工具就是根据脱壳脚本来写的。
脱壳工具很多,这里只介绍最为实用的全自动脱壳机——超级巡警脱壳工具。
超级巡警脱壳工具的工作方法:
超级巡警脱壳工具会自动侦测待脱壳程序所加的壳头,从而判断出带脱壳程序是用哪种壳程序加壳的。如果超级巡警脱壳工具支持对该壳的脱壳,就可以很方便的将程序的壳脱掉;如果不支持对该壳的脱壳,则会给我们一个简单明了的提示。
