这两天闲着没事看了一下脱壳教程http://bbs.pediy.com/showthread.php?t=20366，以前没脱过壳，一直就得加壳挺没意思的。这个教程中第一个例子比较容易，可是第二个例子的输入表不能用ImportRec修复。第二个例子加的壳是PE-Armor V0.49，这到底是个什么壳我也不知道。（第二个例子虽然加的是PE-Armor V0.49,但是本文分析的文件不是这个教程中的,末尾有附件）
按照教程可得到入口的汇编代码如下：
004010CC    FFD7            CALL EDI
004010CE    58              POP EAX
004010CF    83EC 44         SUB ESP,44
004010D2    56              PUSH ESI
004010D3    90              NOP
004010D4    E8 B518F8FF     CALL 0038298E
一看这入口就有点奇怪，ImportRec修复一下输入表，入口改成push ebp和mov ebp,esp，运行一下弹出错误的对话框。这时候拿加壳前的程序比较一下，发现有些函数调用改成了如下形式：
004010D3    90              NOP
004010D4    E8 B518F8FF     CALL 0038298E
004010D9    8BF0            MOV ESI,EAX
根据对照上面调用的是GetCommandLineA。
进去0038298E:
0038298E    50              PUSH EAX                    
0038298F    60              PUSHAD
00382990    E8 06000000     CALL 0038299B
00382995    8B6424 08       MOV ESP,DWORD PTR SS:[ESP+8]
00382999    EB 20           JMP SHORT 003829BB
0038299B    64:FF35 0000000>PUSH DWORD PTR FS:[0]
003829A2    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
003829A9    9C              PUSHFD
003829AA    810C24 00010000 OR DWORD PTR SS:[ESP],100
003829B1    9D              POPFD
003829B2    90              NOP
003829B3    64:8F05 0000000>POP DWORD PTR FS:[0]
CALL 0038299B这个调用是个关键，我开始以为这个调用没什么用，经过多少次F8(不知道按了多少次CTRL+F2)，终于知道这个地方只能F7。这个调用用于安装SEH，然后触发单步异常。执行这个NOP指令后，就会触发异常。当然这个地方也让我CTRL+F2了N回，一直想NOP怎么会触发异常，最后没办法打开调试选项一个个试。触发异常后会进入00382995。最后F7到003829CC:
003829CC    5D              POP EBP
003829CD    8B6D 00         MOV EBP,DWORD PTR SS:[EBP]
003829D0    8B7C24 24       MOV EDI,DWORD PTR SS:[ESP+24]                               ; unpackme.004010D9
003829D4    8BB5 AF060000   MOV ESI,DWORD PTR SS:[EBP+6AF]
003829DA    03F5            ADD ESI,EBP
003829DC    8B06            MOV EAX,DWORD PTR DS:[ESI]
003829DE    33D2            XOR EDX,EDX
003829F5    3BF8            CMP EDI,EAX
003829F7    75 0A           JNZ SHORT 00382A03
003829F9    0AD2            OR DL,DL
003829FB    75 04           JNZ SHORT 00382A01
003829FD    EB 09           JMP SHORT 00382A08
003829FF    EB 02           JMP SHORT 00382A03
00382A01    EB 2F           JMP SHORT 00382A32
00382A03    83C6 08         ADD ESI,8
00382A06  ^ EB D4           JMP SHORT 003829DC
00382A08    8B46 04         MOV EAX,DWORD PTR DS:[ESI+4]
00382A17    2BC7            SUB EAX,EDI
00382A19    F7D0            NOT EAX
00382A1B    C1C0 10         ROL EAX,10
00382A2A    8B00            MOV EAX,DWORD PTR DS:[EAX]
00382A2C    894424 20       MOV DWORD PTR SS:[ESP+20],EAX
00382A30    61              POPAD
00382A31    C3              RETN
这段汇编代码中有不少垃圾指令，这个我没有列出来。粗略看这段代码，它应该试在搜索什么东西。观察EDI值为004010D9，难道就为了搜索这个值？如下数据是ESI所指向的地址。
00383474  00401A5C  unpackme.00401A5C
00383478  9C481A1B
0038347C  00401523  unpackme.00401523
00383480  9C4414E2
00383484  0040346F  unpackme.0040346F
00383488  9C40342E
。。。。。。
003835B4  004010D9  unpackme.004010D9
003835B8  9C5C1098
搜索之后是一段计算过程，计算过程如下:
EDI =  004010D9   EAX = 9C5C1098
EAX = EAX - EDI = 63E40040
ROL 10就是将高低调换一下位置，最后
EAX = 004063E4
这时候查看数据
004063E4  7C812C8D  kernel32.GetCommandLineA
004063E8  7C810082  kernel32.GlobalUnlock
004063EC  7C839418  kernel32._lread
目前就分析到此了，能力有限还没法修复脱壳后的程序。被替换的函数有好多呢，不知道哪位高人有没有简单易懂的方法快速替换。看了几个脱这个壳的例子，都没看懂。有人用脚本，这个更不懂了。最后说下怎么快速到达入口004010CC，教程上的方法适合第一次跟踪。如果像我这样不停的CTRL+F2那就有点费时了。我的方法：
1、忽略所有异常 在004010CC下内存写入断点,F9；
2、如果没啥问题的话应该断在00382712，这时候在00382715（这个地址可以选别的）F2，清除内存断点，F9
3、中断在00382715，清除断点，然后在004010CC内存访问断点，F9;
4、最后就到达了00401CC了。
一些简单的壳分析http://bbs.pediy.com/showthread.php?t=106596 第二个例子就在其中

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• 7.PE-Armor.rar （47.64kb，9次下载）