[原创]一些简单的壳分析-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]一些简单的壳分析

发表于: 2010-2-3 22:16 17957

[原创]一些简单的壳分析

resty

2010-2-3 22:16

17957

[注意]请不要讲其中的东西单独转走

一直很菜，想学脱点壳又总觉得学起来每个壳都各有不同，学会一个，面对万万千千的还是没辙
于是便想办法找一点实感来
那就是拿一些壳跑了一遍
之前这一段时间一直在做这一项工作
由于水平有限，也不敢向什么过强的壳下手
本来还想再F7一遍穿山甲的，结果看到那个壳加出来的大小，以及脱壳机的神勇，便丧失了斗志，以后有机会还是要试试的

以下是列表：
1.upx
2.aspack
3.petite
4.WinUnpack
5.PEncrypt
6.ACProtect
7.PE-Armor
其中upx分析的最多貌似

这些东西大概可以算作是一个参考，它就是告诉你，实际上脱壳可以这样去分析之后再脱。
分析工具基本都只有od+msdn参考

我想说的是我很菜，所以分析完之后我还是很菜，但是如果你肯这样去做一遍，你肯定比我强
Resty. 2010年

纠正中间一点错误：
之前第7篇PE-Armor修复call [API]的时候，我自以为是的以为抽取的全部是call [API]的形式，所以实际上修复出来的是有缺陷的
其实其中还有jmp [API]的情况要判断出来，要不然在有些地方会出错。
原谅我之前没有仔细的测试
对大家造成的误导表示抱歉
特补充正确的内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

一些简单的壳分析.zip （433.13kb，386次下载）
7.PE-Armor_fixdump.zip （22.59kb，200次下载）

收藏・16

免费・7

支持

最新回复 (49) 1 2 ▶
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2 楼支持，自己还正准备总结下的！ 2010-2-3 22:22 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 3 楼貌似下载后不能解压，有错！ 2010-2-3 22:25 0
scarecrow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	scarecrow 4 楼下载收藏了,谢谢 2010-2-3 22:31 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 5 楼谢谢了，我也在总结，不过没涉及加密壳的分析，不懂的还想找lz请教建议LZ通过分析填充IAT的过程把变形的输入表结构分析一下，我感觉还是比较有收获的 2010-2-3 22:50 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 6 楼嗯，谢啦，下来学习 2010-2-4 08:32 0
gtboy 雪币： 246 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 212 粉丝 0 关注私信	gtboy 2 7 楼感谢楼主，从压缩壳到加密壳，呵呵辛苦了尤其是加密壳，很少有人写分析文章 2010-2-5 19:23 0
qiaokeli 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	qiaokeli 8 楼加密壳都有哦，楼主水好深 2010-2-6 01:32 0
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 9 楼下载学习了，先看看 2010-2-9 10:15 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 10 楼大家注意下我发现了一个小bug，现已纠正 2010-2-9 12:42 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 11 楼多谢。下载下来慢慢学习 2010-2-9 15:15 0
zqxf 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	zqxf 12 楼多谢。下载下来慢慢学习 2010-2-9 19:25 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 251 关注私信	riusksk 41 13 楼不错，学习一下。 2010-2-9 19:44 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 14 楼学习+支持加油！ 2010-2-9 19:57 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 15 楼支持，，，学习。。。 2010-2-9 20:05 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 16 楼下载学习了，先看看 2010-2-9 20:21 0
康东雪币： 7725 活跃值： (2462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 156 粉丝 0 关注私信	康东 17 楼下来学习 2010-2-10 01:38 0
yangyy 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	yangyy 18 楼学习一下。。。 2010-2-10 05:00 0
望花煮雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	望花煮 19 楼下载学习了。。 2010-2-10 09:11 0
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 20 楼下来学习 . 2010-2-13 00:24 0
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 21 楼顶下。。。。 2010-2-21 15:39 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 22 楼直接试验PE-Amor0.49 记事本的壳脱壳脚本1，并未到达OEP……，程序被挂起……恢复就直接运行了! 而且手动走的路线也与作者不一样呢？从JMP EDX开始就不一样了！而且从最后一个除0异常到bp LoadLibraryA+5，也不是作者说的地址啊：在返回地址处下断，并不是直接返回，又发生了一次LoadLibraryA事件……，晕，这次来自于：当这次调用后才会返回到前面下断的返回地址。上传的附件： 1.JPG （49.55kb，85次下载） 2.JPG （25.38kb，87次下载） 3.JPG （34.07kb，85次下载） 4.JPG （82.03kb，84次下载） 5.JPG （54.24kb，82次下载） 6.JPG （95.43kb，82次下载） 2010-2-25 09:27 0
truch 雪币： 181 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	truch 23 楼不懂的还想找lz请教 2010-2-25 09:32 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 24 楼路线不同就比较奇怪了，也许在不同机器/系统上运行效果会不同？或者是没有隐藏OD? 你bp GetCommandLine应该是能到入口的，要不要试试= = 2010-2-25 10:13 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 25 楼 4010cc应该就是OEP，但是过去以后就是call edi等……，用impRec也能修复，修复后变成另一个壳了！ int3 + div 异常后…… bp GetCommandLineA …… 但是能到达这里！我想这里应该就是跳往OEP： EAX=4010cc 这里： dump后修复也能正常修复，能得到正确IAT，但是PEID查壳还是有壳变成Yoda's的壳了？！！！有高手能解释解释么？上传的附件： 1.JPG （83.33kb，79次下载） 2.JPG （40.94kb，80次下载） 3.JPG （19.44kb，81次下载） 2010-2-25 10:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

resty

发帖

190

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) 1 2 ▶
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2 楼支持，自己还正准备总结下的！ 2010-2-3 22:22 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 3 楼貌似下载后不能解压，有错！ 2010-2-3 22:25 0
scarecrow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	scarecrow 4 楼下载收藏了,谢谢 2010-2-3 22:31 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 5 楼谢谢了，我也在总结，不过没涉及加密壳的分析，不懂的还想找lz请教建议LZ通过分析填充IAT的过程把变形的输入表结构分析一下，我感觉还是比较有收获的 2010-2-3 22:50 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 6 楼嗯，谢啦，下来学习 2010-2-4 08:32 0
gtboy 雪币： 246 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 212 粉丝 0 关注私信	gtboy 2 7 楼感谢楼主，从压缩壳到加密壳，呵呵辛苦了尤其是加密壳，很少有人写分析文章 2010-2-5 19:23 0
qiaokeli 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	qiaokeli 8 楼加密壳都有哦，楼主水好深 2010-2-6 01:32 0
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 9 楼下载学习了，先看看 2010-2-9 10:15 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 10 楼大家注意下我发现了一个小bug，现已纠正 2010-2-9 12:42 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 11 楼多谢。下载下来慢慢学习 2010-2-9 15:15 0
zqxf 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	zqxf 12 楼多谢。下载下来慢慢学习 2010-2-9 19:25 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 251 关注私信	riusksk 41 13 楼不错，学习一下。 2010-2-9 19:44 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 14 楼学习+支持加油！ 2010-2-9 19:57 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 15 楼支持，，，学习。。。 2010-2-9 20:05 0
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 16 楼下载学习了，先看看 2010-2-9 20:21 0
康东雪币： 7725 活跃值： (2462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 156 粉丝 0 关注私信	康东 17 楼下来学习 2010-2-10 01:38 0
yangyy 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	yangyy 18 楼学习一下。。。 2010-2-10 05:00 0
望花煮雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	望花煮 19 楼下载学习了。。 2010-2-10 09:11 0
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 20 楼下来学习 . 2010-2-13 00:24 0
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 21 楼顶下。。。。 2010-2-21 15:39 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 22 楼直接试验PE-Amor0.49 记事本的壳脱壳脚本1，并未到达OEP……，程序被挂起……恢复就直接运行了! 而且手动走的路线也与作者不一样呢？从JMP EDX开始就不一样了！而且从最后一个除0异常到bp LoadLibraryA+5，也不是作者说的地址啊：在返回地址处下断，并不是直接返回，又发生了一次LoadLibraryA事件……，晕，这次来自于：当这次调用后才会返回到前面下断的返回地址。上传的附件： 1.JPG （49.55kb，85次下载） 2.JPG （25.38kb，87次下载） 3.JPG （34.07kb，85次下载） 4.JPG （82.03kb，84次下载） 5.JPG （54.24kb，82次下载） 6.JPG （95.43kb，82次下载） 2010-2-25 09:27 0
truch 雪币： 181 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	truch 23 楼不懂的还想找lz请教 2010-2-25 09:32 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 24 楼路线不同就比较奇怪了，也许在不同机器/系统上运行效果会不同？或者是没有隐藏OD? 你bp GetCommandLine应该是能到入口的，要不要试试= = 2010-2-25 10:13 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 25 楼 4010cc应该就是OEP，但是过去以后就是call edi等……，用impRec也能修复，修复后变成另一个壳了！ int3 + div 异常后…… bp GetCommandLineA …… 但是能到达这里！我想这里应该就是跳往OEP： EAX=4010cc 这里： dump后修复也能正常修复，能得到正确IAT，但是PEID查壳还是有壳变成Yoda's的壳了？！！！有高手能解释解释么？上传的附件： 1.JPG （83.33kb，79次下载） 2.JPG （40.94kb，80次下载） 3.JPG （19.44kb，81次下载） 2010-2-25 10:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复