第十六章 脱壳技术
16.1 基础知识
壳的加载过程:保存入口参数、获取壳本身需要使用的API地址、解密原程序各个区块的数据、IAT的初始化、重定位项的处理、HOOK API、跳转到程序原入口点
手动脱壳步骤:查找真正的入口点、抓取内存映像文件、重建PE文件(修复OEP、IAT的RVA和Size)
16.2 寻找OEP
根据跨段指令寻找OEP(单步跟踪)
用内存访问断点寻找OEP(两次断点)
根据栈平衡原理寻找OEP(ESP定律)
根据编译语言特点寻找OEP(常见函数入口代码特征)
16.3 抓取内存映像
使用OllyDump插件
反Dump技术:纠正SizeOfImage、修改内存属性
16.4 重建输入表
确定IAT的地址和大小
用ImportREC重建输入表
16.5 DLL文件脱壳
16.6 附加数据
在某些特殊的 PE 文件中,在各个区块的正式数据之后还有一些数据,这些数据不属于任何区块。因为PE文件被映射到内存中时是按区块映射的,所以这些数据是不能被映射到内存中的。这些额外的数据称为附加数据(overlay)。以认为附加数据的起点是最后一个区块的末尾,终点是文件的末尾。
16.7 PE文件的优化
优化输入表存放位置、资源的重建、装配文件、修正PE文件头
16.8 压缩壳
UPX:注意UPXPR、UPX-Scrambler软件的保护
16.9 加密壳
ASProtect已经有脱壳机了
“stolen bytes”是指外壳将程序的部分代码变形并搬到外壳段中
16.10 静态脱壳
