[原创]压缩壳和低强度加密壳的脱壳小结及简易脱壳法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]压缩壳和低强度加密壳的脱壳小结及简易脱壳法

发表于: 2008-3-12 16:11 11403

[原创]压缩壳和低强度加密壳的脱壳小结及简易脱壳法

sxssl

2008-3-12 16:11

11403

不知道看雪的精华帖从什么时候开始算起，记得很早的时候已经有几篇精华了，现在居然不让在调试和保护版块发帖，郁闷.......望版主赏脸给个精

坛主的建议很中肯，愉快接受，谢谢！

压缩壳和低强度加密壳的脱壳小结及简易脱壳法

一、脱壳的一般方法
脱壳方法现在能找到的资料很多，总结起来主要有这么几种方法：
1、单步跟踪脱壳
2、ESP定律脱壳
3、特征代码脱壳
4、内存镜像脱壳
5、最后一次异常脱壳
6、ollydbg SFX自动跟踪脱壳
这些方法可以去网上找一篇帖子“普通壳的脱壳方法和脱壳技巧，叫新手少走弯路！”，这篇贴子讲得比较详细,这里不再赘述。

二、OEP内存断点万能脱壳法
对于压缩壳和低强度加密壳经过一段时间的研究发现有一种万能的脱壳方法－－OEP内存断点万能脱壳法。什么是压缩壳和低强度加密壳呢？所谓压缩壳和低强度加密壳是指能用PEiD的查找OEP插件找到OEP的壳，具体的种类有很多，经本人试验有以下这些upx、aspack、fsg、Aspack Scrambler、ExeStealth、ID Application Protector、V2Packer、WWPack32、XComp0.98、bambam、BeRoEXEPacker、dePACK、ExeShield Protector、KByS、NsPacK、tElock、yoda's Protector、nPack、!EP(ExE Pack) 、ASDPack、eXPressor、PECompact.......等很多种，事实上只要能用PEiD侦测到OEP的壳都可以用这种方法。

OEP内存断点法具体操作步骤如下：
1、PEiD侦测壳的种类和OEP（壳的种类未知也可以的，但OEP必须要能够侦测到）
2、ollydbg载入目标程序，停在壳的入口
3、数据窗口Ctrl+G，填入PEiD侦测到OEP,确定
4、在数据窗口OEP处设置内存访问断点，F9运行
5、观察内存数据窗口OEP处数据变化
6、直到出现6种语言的特征代码Borland Delphi 6.0-7.0 ：55 8B EC 83
                        Microsoft Visual C++ 6.0 ：55 8B EC 6A
         Microsoft Visual C++ 6.0 [Overlay] E语言：55 8B EC 6A
                  Microsoft Visual Basic 5.0-6.0 ：68 D0 ** ** ** E8
                                          Dasm : 6A 00 E8 C5
                                          BC++ : EB 10
7、取消内存断点，反汇编窗口Ctrl+G填入PEiD侦测到OEP，在OEP处下断，F9运行，到达OEP
8、Dump it 运行，出错的话用ImportREC修复即可，一般都可修复的。

二、OEP内存断点万能脱壳法脱壳机理
我们知道的，壳如果要把原来加密或压缩的代码运行起来的话就必须要解压和解密原来的代码,这一个过程我们可以将他看做是代码的内存写入，当我们用ollydbg载入目标程序，数据窗口Ctrl+G转到OEP地址时往往看到的数据全部是0，这说明OEP处的代码被压缩或加密了。（有些时候可以看到有代码，但这些代码不是6种常见语言的入口特征代码，这说明OEP处肯定是被加密了，被壳的加密代码替换了。）基于这样的理解我们可以在数据窗口OEP处设置内存访问断点，F9运行，观察内存数据窗口OEP处数据变化，内存数据变化说明OEP处代码在被解密，当我们看到6种常见语言的入口特征代码时说明OEP处已经被解压或解密，可以取消内存断点，直接在OEP处下断，运行到OEP脱壳。

三、OEP内存断点万能脱壳法的简化变形
了解了OEP内存断点万能脱壳法脱壳机理以后，对于一些压缩壳这种方法还可以进行简化，对于压缩壳OEP处的代码在未解压前是不会被执行的，只有在解压完全之后才会被执行，（加密壳不一定是这样的，因为在OEP处的代码可能被壳的代码替换，是有可能被执行到的，执行的目的是解密原程序。）基于这样的理解，我们可以直接在在数据窗口OEP处设置硬件执行断点，当OEP处代码被执行时进行中断，而这时也正好是我们脱壳的最佳时机。

三、OEP内存断点万能脱壳法简化变形的OD脚本
OEP内存断点万能脱壳法经过简化变形后其操作变得非常简单机械，我们可以用一个很简单的ollydbg脚本来使其自动执行脱壳，脚本如下：
/*
//////////////////////////////////////////////////
      All Compress packer Unpacking script
      Author:       sxssl
      Email : sxssl@163.com
      OS : WinXP sp2,Ollydbg 1.1,OllyScript v0.92
      Date  : 2008-1-20
      Config: Ignore all exceptions
      Note  : If you have one or more question, email me please,thank you!
//////////////////////////////////////////////////
*/
input:
ask "Please Enter OEP VA"
cmp $RESULT,400000
jb message
cmp $RESULT,400000
ja bphw

bphw:
bphws $RESULT, "x"
run
bphwc $RESULT
jmp end

message:
msg "OEP VA Is False! Please Enter True OEP VA!"
jmp input

end:
msg "Script by sxssl,Thank you for using my script!"
ret

[课程]Android-CTF解题方法汇总！

上传的附件：

试炼.rar （79.89kb，65次下载）

收藏・10

免费・7

支持

最新回复 (9)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼以前做事没远见，2004.4前的论坛数据都没保留（精华帖应该收集到论坛精华集去了），还请谅解。 2008-3-12 16:17 0
sxssl 雪币： 150 活跃值： (1104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 1 关注私信	sxssl 3 楼哦，坛主真热情，没关系的，这个帖给个精华就可以了，开玩笑的，坛主还是看文章质量吧。 2008-3-12 16:31 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 4 楼支持并学习！ 2008-3-20 00:55 0
netpg 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	netpg 5 楼我是新兵按照楼主说的(OEP内存断点法具体操作步骤如下：)没能走通,能不能说详细点呀. 最好能举点实例,谢了. 2008-3-20 13:19 0
liuduqiao 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	liuduqiao 6 楼按照LZ的方法我试脱ASProtect 2.1x SKE -> Alexey Solodovnikov(VerA 0.15查是Version: ASProtect 2.11 SKE build 03.13 Release [1]) 1,用PEiD v0.94的插件Generic OEP Finder查为"Found OEP: 00421D9D 2,OD载入,在数据窗口Ctrl+G 输入"00421D9D"然后下内存访问断点,多次后由00 00 00 00变为55 8B EC 6A 这时反汇编窗口为:009EEF2E 037A 1C add edi,dword ptr ds:[edx+1C] 3,数据窗口取消内存访问断点 4,在反汇编窗口Ctrl+G 输入"00421D9D"回车到00421D9D 55 push ebp 5,F2下断,F9运行,可跑飞了!!! 2008-3-29 16:59 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 7 楼入门壳,新手去练练,会找到入门的乐趣!~~ 2008-3-29 18:55 0
bobobode 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	bobobode 8 楼找不到LZ的普通壳的脱壳方法和脱壳技巧，叫新手少走弯路！ 2008-4-1 07:01 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 9 楼学习学习啦不错一般的学员都能看懂 2012-4-26 16:11 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 10 楼 mark。。。:-) 2012-4-26 16:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sxssl

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼以前做事没远见，2004.4前的论坛数据都没保留（精华帖应该收集到论坛精华集去了），还请谅解。 2008-3-12 16:17 0
sxssl 雪币： 150 活跃值： (1104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 1 关注私信	sxssl 3 楼哦，坛主真热情，没关系的，这个帖给个精华就可以了，开玩笑的，坛主还是看文章质量吧。 2008-3-12 16:31 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 4 楼支持并学习！ 2008-3-20 00:55 0
netpg 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	netpg 5 楼我是新兵按照楼主说的(OEP内存断点法具体操作步骤如下：)没能走通,能不能说详细点呀. 最好能举点实例,谢了. 2008-3-20 13:19 0
liuduqiao 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	liuduqiao 6 楼按照LZ的方法我试脱ASProtect 2.1x SKE -> Alexey Solodovnikov(VerA 0.15查是Version: ASProtect 2.11 SKE build 03.13 Release [1]) 1,用PEiD v0.94的插件Generic OEP Finder查为"Found OEP: 00421D9D 2,OD载入,在数据窗口Ctrl+G 输入"00421D9D"然后下内存访问断点,多次后由00 00 00 00变为55 8B EC 6A 这时反汇编窗口为:009EEF2E 037A 1C add edi,dword ptr ds:[edx+1C] 3,数据窗口取消内存访问断点 4,在反汇编窗口Ctrl+G 输入"00421D9D"回车到00421D9D 55 push ebp 5,F2下断,F9运行,可跑飞了!!! 2008-3-29 16:59 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 7 楼入门壳,新手去练练,会找到入门的乐趣!~~ 2008-3-29 18:55 0
bobobode 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	bobobode 8 楼找不到LZ的普通壳的脱壳方法和脱壳技巧，叫新手少走弯路！ 2008-4-1 07:01 0
liyizhu 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 206 粉丝 0 关注私信	liyizhu 9 楼学习学习啦不错一般的学员都能看懂 2012-4-26 16:11 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 10 楼 mark。。。:-) 2012-4-26 16:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复