最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 网络安全攻防:软件逆向之脱壳

    ”是一种对程序进行加密的程序,“壳”形象地表现了这个功能。我们可以把被加壳的程序当成食物,而加壳程序就是在外面加上一层坚硬的外壳,防止别人去窃取其中的程序。加壳后的程序依然可以被直接运行。在程序运行时壳的代码先运行,然后再运行原来的程序。主要目的是为了隐藏程序的OEP(入口点),防止外部软件对程序的反汇编分析或动态分析。许多病毒通过加壳来达到免杀的目的,但壳也用在保护正版软件不被破解。技术没有对错之分,关键看使用的目的。

    1. 壳的分类

    (1)压缩壳

    压缩壳的作用就是压缩程序的大小。压缩壳并不会对程序进行修改,而是改变了存储方式,使程序更小。运行程序时先运行壳的解压缩程序,解压源程序到内存中,然后执行。常见的压缩壳有UPX,可以将一般程序压缩到原来体积的30%。对upx_test进行压缩,原来大小为188 KB,压缩后为33 KB,只有原来的17.54%,详细信息如图1所示。

    图1  压缩upx_test

    用PEiD进行查壳,测试一下是不是有壳,如图2所示,确实已经有了UPX的压缩壳。

    图2  PEiD查壳(UPX)

    (2)加密壳

    加密壳的作用是保护程序不被破解。一般情况下,加密壳加密之后的程序大小视情况而定,有些加密壳也有压缩壳的效果。加密壳会对程序进行修改,如打乱代码、混淆等。常见的加密壳有ASProtect、EXECrptor、Armadillo等。如图3所示是用ASProtect进行加密。

    图3  ASProtect加密

    用PEiD进行查壳,测试一下是不是有壳,如图4所示,确实已经有了APS的加密壳。

    图4  PEiD查壳(APS)

    3)虚拟机保护壳

    虚拟机保护壳是近些年开始流行的加密保护方案,关键技术是软件实现CPU的功能。由于程序不遵循Intel的OPCode标志,所以分析起来会很麻烦。

    2. 脱壳

    对于不同的壳,网上有很多对应的脱壳工具。在脱壳前一般先用查壳工具,查加的是什么壳,然后找到对应的脱壳工具进行脱壳。以之前的UPX壳压缩的upx_test.exe为例,进行脱壳演示。如图5是PEiD查壳结果,通过查壳我们知道这是UPX的壳,然后用对应的脱壳工具进行脱壳。

    图5  PEiD查壳结果

    这里用的是UPXshell进行演示。将程序拖入到UPXshell中单击“GO”即可得到脱壳之后的程序。脱壳之后会覆盖原来的带壳的程序,所以在脱壳前要做好备份,如图6所示。

    图6  脱壳

    脱壳是逆向分析的必备技能之一。虽然用软件脱壳十分方便,但还是会存在许多限制,如要找对应的脱壳软件,较新、较强的壳一般无法用软件脱壳等。所以还是有必要了解一些脱壳的基本知识。

    (1)OEP

    脱壳的第一步是找到源程序的OEP(Original Entry Point)。OEP标志是否已经运行到源程序。对于一些简单的压缩壳,找到OEP就意味着已经脱壳成功。

    单步调试法:加壳程序开始运行时,栈的情况与解压后主程序的栈情况完全相同。所以很多加壳程序载入 OD 后都会停留在 pushad/pushfd 处,将原来的栈先保存下来,所以,pushad/pushfd肯定就有对应的popad/popfd。只要找到popad/popfd就可以快速地找到OEP。将upx_test.exe载入OllyDbg,一直按F8,如果遇到向上跳转就按F4运行到下一行。直到遇到popad,下面会有一个比较大的jmp跳转。如图7和图8所示。跳转之后的地方就是程序的OEP,如图9所示。

    图7  单步调试1

    图8  单步调试2

    图9  查找到OEP

    这里只介绍了比较简单而且比较通用的一种脱壳方法。实际中还有很多巧妙的方法,如ESP定律、利用编辑语言的特点等。

    (2)内存映像转存

    找到OEP之后,程序已经在内存中,这时内存中的程序最接近加壳前的程序。只需要将内存中的映像转存出来,一般的壳就结束了。内存映像转存(dump)工具有好多,如LordPE、PETools。而且OllyDbg中也有OllyDump插件可以使用。

    下面就可以进行脱壳了。右键单击“push ebp”选择dump process,单击“dump”按钮脱壳。会生成一个脱壳后的程序,默认文件名会在原文件名后面加上“_dump”。最后进行查壳,显示已经无壳,并且成功运行,表示脱壳成功,如图10所示。

    图10  内存映像转存

    (3)重建导出表

    很多加密壳会对导入表做手脚。这时,就算成功脱壳,程序也是无法运行的。在导入表中起关键作用的是IAT,所以很多时候修复导出表也叫修复IAT。可以使用importREC重建导出表,如图11所示。

    图11  重建导出表

    【编辑推荐】

    1. 优炫软件荣获“信创”两项大奖,助力信创产业发展
    2. 网络安全编程:逆向调试分析工具之OllyDbg
    3. 关于软件供应链攻击,CISO应关注的5个问题
    4. 拜登政府欲签署行政命令加强联邦网络安全要求
    5. 详解跨平台代码的3种组织方式
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 网络安全攻防:软件逆向之脱壳

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情