关于壳基础知识的学习已经告一段落，本帖主要目的是针对所学内容中的压缩壳知识进行一个简要归纳，并辅以一个基础脱壳练习加强应用体验。

通过对生活场景中带壳类生物的观察，程序中壳的作用可类比理解为：对可执行文件起到保护等的作用。

压缩壳：目的是减少PE体积。使用的是数据压缩算法，常见的如zip。

加密壳：目的是防止程序被分析，被调试，被逆向。使用的是加密算法，其中涉及反调试，反dump的技术。

压缩壳设计必须遵守的原则：加壳之后的 PE 文件被加载到内存中之后，其内存内容和功能，必须和加壳之前的正常 PE 的内存内容一模一样。

在解压缩代码前开启一个空节区域，空节即没有文件大小，只有内存大小（内存大小至少大于原节总大小）的节，以便进程运行起来后，可以在内存中扩出我们所需的空间。

推测一个压缩壳的工作原理，可以从被压缩后的 PE 文件的节表的信息（节的名称；通过节的 VirtualSize 和节的 SizeOfRawData 的大小对比来判断是否为占坑节（SizeOfRawData 不一定是 0，也有可能是比 VirtualSize 小很多的一个值）来入手。

图2-1 压缩壳的设计方法

图2-2 压缩壳的实现思路

upx 壳是一个开源的、跨平台的压缩壳，它的压缩率可达到 25%以下。

目录下cmd运行upx命令查看命令，常用命令：

压缩选项['-1' - '-9'] ：-1：compress faster，压缩速度更快；  -9：compress better，压缩率更高。

upx脱壳：-d     decompress。

图3-1 upx常用命令

语法：upx [-一般为默认] [-一般为默认] [输出文件] 文件..

示例： upx [-123456789dlthVL] [-qvfk] [-o file] file..

使用：

upx -o dbgview_upx.exe Dbgview.exe

upx -9 -o dbgview_upx.exe Dbgview.exe

压缩前后PE节对比：

图3-2 压缩前后PE节对比

压缩后空节内存：

图3-3 压缩后空节内存

静态脱壳（不推荐）；

Dump脱壳（推荐）：

（1）查找OEP，OEP的识别：

OEP：EP(Entry Point)，即程序的入口点。而OEP是程序的原始入口点，一个正常的程序只有EP，只有入口点被修改的程序(加壳等)，才会拥有OEP。

a.经验：汇编生成的程序没有OEP特征，不同的编译器生成的程序的 OEP 处有不同的特征。常见特征：

使用 VC6 编译的程序，会在 OEP 处看到以 GetVersion()为开头的多个函数的连续调用。往下找，看到 push 了 3 个或者 4 个（Windows 窗口程序）的一个函数调用，那就是 main()函数。 

图3-4 VC6编译程序的OEP特征

使用 VS 2013系列后 release 版本编译的程序，会在 OEP 处看到连续的一个 call，一个 jmp（和 Debug 版本相比，第二个 call 变为 jmp 是编译器的优化），分别是 call _security_init_cookie 和 jmp_scrt_common_main_seh。第二个 jmp 跟进去找到其中的call再进去，往下走就能找到对一组函数的调用（下图3，其中QueryPerformanceCounter为主要API特征）。 

图3-5  VS 2013系列后编译程序的OEP特征

一个有效的观察特征的方法是：下载并使用这些编译器的 IDE，写一个简单的程序，断在 main() 函数的第一句代码处，然后观察栈回溯，看看从进入主模块开始一路走来的函数调用过程。

b.手法：

1） esp定律：esp 定律对压缩壳oep的识别非常有效，因为压缩壳的 shell（用于解压缩数据的代码），为了让自己看上去没有被执行过，在运行之前和运行结束的时候一定会保存和恢复寄存器环境。

2） API：使用 API 查找 OEP，就是在明确了目标程序使用的哪款编译器之后（如何知道程序是哪款编译器编译出来的？根据上面说过的经验，以 VC6为例，.text 节的开始部分会有以 GetVersion()为开头的多个函数的连续调用；这其实是一个悖论：既然已经定位到 GetVersion()了，那么无需再多进行操作，直接往前找一下就是 OEP 了），在 OEP 入口的特征函数处下断点。例如，对于 VC6 编译器所生成的程序，我们可以在函数GetVersion()下断点，断下来之后 GetVersion()函数的 call 调用之前不远处，就是 OEP。在 GetVersion()函数的 call 调用之前不远处，找到了 OEP，在此下断点的时候，注意要下硬件断点，而不能是软件断点，因为软件断点写入的 0xCC 指令会被之后解压缩出来的数据所覆盖，从而造成断点失效，甚至会导致 OD 的断点管理混乱。

3）单步跟踪查找 OEP：一般是在前两种方法都无效的情况下，我们才会手工单步跟踪。在遇到 jmp，call 或者push+ret 的时候，只有方向是向下的时候才跟着跳转，否则就直接运行程序至下一行汇编代码处，方法：鼠标点击向上跳转的指令（例如jnz short xxxxx，机器码 75 EE）的下一行指令，按快捷键：F4。

（2）dump：dump：作为动词理解，指在特定时刻，把动态易变的数据，转储为静态持久的数据。作为名词理解，一般就是指dump（动词）的结果文件。

（3）修复PE：具体情况具体分析。

作者：633

时间：2021-12

样本来源：科锐样本库

本文档讲述关于pcf.exe程序频繁请求无效输入的BUG分析及其修复过程。

pcf.exe：样本程序

PEiD.exe：查壳工具

X32dbg.exe：Dump工具

OD.exe：动态调试工具

LIBC.LIB：辅助测试库

样本名称：pcf.exe

样本类型：应用程序

样本大小：61KB

样本具体行为：自动提取特征码

样本BUG描述：在执行过程中，频繁请求无效输入。

使用PEID工具查验，发现样本已加ASPack壳（ASPack是一款常见的Win32可执行程序压缩工具）。

图4-1 PEiD查壳

esp定律：见pushad/pushfd即可初步确定使用esp定律识别OEP。所谓ESP定律就是利用了pushad的设计原理，在一开始的时候，去栈上数据进行硬件读处理，当壳执行完毕要恢复PE前，即可快速锁定OEP定位。esp 定律对压缩壳oep的识别非常有效，因为压缩壳的 shell（用于解压缩数据的代码），为了让自己看上去没有被执行过，在运行之前和运行结束的时候一定会保存和恢复寄存器环境。

步骤1：F8单步过pushad入栈，跟踪ESP，以DWORD类型，下硬件访问断点至第二组或第三组（经验）。

图4-2 查找OEP步骤1

步骤2：F9运行，断下来的即为popad处，jmp指令即为跳转至OEP地址。

图4-3 查找OEP步骤2

步骤3：F8至OEP行。

图4-4 查找OEP步骤3

dump流程：X32dbg插件 → Scylla→ dump 转储（xxx.exe→xxx_dump.exe）。

备注：调试机需与样本程序保持同位环境。本样本为32位程序，故需在32位环境下进行Dump。

图4-5 Dump 流程

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课