脱壳第三讲,UPX压缩壳,以及补充壳知识

           脱壳第三讲,UPX压缩壳,以及补充壳知识

一丶什么是压缩壳.以及壳的原理

在理解什么是压缩壳的时候,我们先了解一下什么是壳

1.什么是壳

  壳可以简单理解为就是在自己的PE文件中包含了代码.而有不影响我们的PE文件的执行.

2.什么是压缩壳

  压缩壳指的是让我们的PE文件变小.

3.压缩壳原理

首先可以看到,我们的PE文件

一个PE头,两个节数据,其中节和节之间还有对齐值.而上图是我们的一个正常壳映射到内存中的示意图.

4.压缩壳的思路

从上图可以看出, 我们的PE文件,压缩一下变成了一个新的PE文件,其中我们的PE文件,压缩的数据是节里面的数据

也就是说,压缩壳的原理就是压缩PE文件中节的数据.然后产生新的PE,这个新的PE我们成为带壳的PE

 而我们运行带壳PE的时候,这时候壳中的解压缩代码开始执行,从而把我们以前压缩数据的节重新映射到内存.

5.压缩壳方法1(PE的生成)

此时观察方法1我们会发现,我们新的PE, 解压缩的代码在压缩数据(节)的上面,那么这个时候则会面临一个问题

如果我们解压缩的时候,那么压缩数据的地址应该在我们解压缩代码的哪里,那么此时我们一边解压缩,一边压缩数据会覆盖解压缩代码,此时我们不知道是先解压完成,还是先覆盖完成

解决方法:

  首先我们知道原PE的节的个数以及大小,那么此时我们生成的新的带壳PE,则会获得大小.然后在其带壳PE的下面申请怎么大小的节用来占位置即可.

那么此时我们解压的数据,则会写到我们占位置的地方.

如果不懂可以看下图理解

 此时Shell(中文翻译为壳)代表的就是解压缩的代码

这个图是映射到内存中的带壳PE分布图.

很简单,解压缩代码执行,然后解压的代码正好在我们占地方的位置.

二丶脱壳步骤,以及手脱UPX壳

首先我们知道压缩壳了,压缩壳就是缩小PE文件

那么在壳的世界 还有加密壳.  原理是一样的,只不过 

压缩壳: 用来压缩数据,减小PE体积

加密壳:用来防住你们我们他们等等逆向人员的 ^_^

1.脱壳步骤:

1.查找OEP(入口点 )

   方法: 经验,这个主要看经验

   不过这个经验也好分辨.

 2.脱壳手法

   2.1 ESP 定律

      2.2 API

      2.3 单步跟踪(步过循环,只向下跳转)

3. 经过上面步骤开始脱壳

  手工DMP内存(把内存拷贝下来)

       然后修复PE (一般加密壳汇编PE中的导入表给抹掉)

首先ESP定律,在壳的第一讲已经讲解过了

这里我们说下怎么查看入口点,以及脱壳手法的API 跟踪,和单步跟踪.

2.识别入口点

如果要识别入口点,这里只简单说下,因为比如 VC++6.0  VSXXX  VB...等等入口点都是不一样的

这里直说一下VC和VS入口点的识别方法.

首先随便打开一个没有加壳的程序(VC++6.0的)OD打开查看.

1.VC6.0的识别

往下拖动一下

可以看出,VC6.0的入口点会固定的调用这三个API

只需要记住即可.看下VS的识别方法

2.VS系列识别方法

不知道还是电脑原因还是编译器原因,编译的程序不能在XP下使用OD打开,所以只能用IDA说下了

如果OD能打开,那么则是一个Call 然后下方紧接着跟着一个JMP跳转

那么它的入口点特征则是调用以上的API

3.使用API定位脱壳

因为ESP定律已经说过了,这里使用API进行脱壳.

思路:

  因为我们知道入口点的特征,比如VC6.0的,它会调用API,那么我们API下段点即可.肯定会过去的.

首先我们脱一个VC6.0的upx压缩壳.

首先我们知道入口点会调用的API

那么我们下断点即可.

(注意,这里使用UPX随便压缩了一个VC的程序,UPX可以官网下载,VC程序也可以自己编写一个)

F9以下,看看能不能断下来.

断下来了,只不过是断在里面了,然后我们执行到返回  CTRL + F9 即可看到我们的熟悉的特征

确实使我们的入口点位置

那么此时移动汇编代码到入口点,也就是一开始的地方,(因为此时程序已经执行的API可能数据已经破坏了,所以我们在入口点位置下段点,重新运行则可以断在入口点)

此时重新运行程序,当我们的EIP 位置是4014EC的地方我们则可以DMP内存了.

保存一份即可.

3.使用单步方法定位入口点.

这个就比较简单了,我们遇到循环,不看直接往下单步走,直到走到一个远跳即可.

比如我模拟一下OD

地址:     汇编代码

1   add eax,eax

2          mov eax,eax

3          jnz   1        EIP = 3

4    mov edx,edx

5         jmp  00401000

 此时EIP = 3,那么会跳转到1,那么这个时候我们在4地址下段点即可,不看它的循环,一直到5地址,有个远跳,即可.

关于DMP内存和上面一样,不说了.

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ChaMd5安全团队

挖洞经验之代理不当日进内网

大家好,我是STCX,应M姐姐之邀写一篇文章为咱们公众号做点贡献,那我就扯一下之前挖一个漏洞的经验。 ---- 正向代理和反向代理是forward/revers...

3296
来自专栏云加头条

腾讯云 CMQ 消息队列测试

最近收到腾讯云提供 CMQ 的内测体验资格,于是对其中的消息队列服务进行消息分发和管理作出测试,并将测试结果以及所遇到的问题进行了汇总。

3K0
来自专栏牛客网

知识总结:I/O模型基础I/O基础

I/O基础 1、java1.4之前,java对I/O支持不完善,存在以下问题: 没有数据缓冲区,I/O性能存在问题。 没有C或者C++的channel概念,只...

3779
来自专栏进击的程序猿

6.824 Lab 3: Fault-tolerant Key/Value Service Part-AIntroduction实际设计中出现的问题

该实验是mit 6.824课程的第3个实验,基于raft协议完成一个key-value系统

1643
来自专栏玄魂工作室

利用Png做持久型XSS攻击

关于文件上传漏洞,其实是老生常谈了,其实很多网站都做了很严格的控制。这里我们不去谈如何突破文件上传,而是假设我们能上传一张图片,然后当成html嵌入或者执行。 ...

1482
来自专栏匠心独运的博客

分布式定时任务Elastic-Job框架在SpringBoot工程中的应用实践(二)

文章摘要:在生产环境中部署Elastic-Job集群后,那么如何来运维监控线上跑着的定时任务呢? 如果在生产环境的大规模服务器集群上部署了集成Elastic-...

2082
来自专栏FreeBuf

Linux内核中的递归漏洞利用

6月1号,我提交了一个linux内核中的任意递归漏洞。如果安装Ubuntu系统时选择了home目录加密的话,该漏洞即可由本地用户触发。如果想了解漏洞利用代码和短...

2906
来自专栏Python爬虫与数据挖掘

手把手教你进行R语言的安装及安装过程中相关问题解决方案

这篇文章旨在为R语言的新手铺砖引路,行文相对基础,希望对在R语言安装上有问题的小伙伴提供帮助和指引。

1664
来自专栏北京马哥教育

Linux操作系统基础知识学习

Linux操作系统概述 Q1.什么是GNU?Linux与GNU有什么关系? A: 1)GNU是GNU is Not Unix的递归缩写,是自由软件基金会...

39510
来自专栏耕耘实录

再提一下Linux系统中的MD5校验

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢。

2125

扫码关注云+社区

领取腾讯云代金券