upx手动脱壳

工具

• upx：upx是一个开源的压缩壳工具，可以到github下载upx
• Study_PE工具，可以到看雪论坛下载

upx简单的用法

upx src.exe命令将src.exe加壳
upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe

upx手动脱壳

脱壳原理

平衡堆栈法(又称ESP定律,技巧法)

一般加壳程序在运行时，会先执行壳代码，然后在内存中恢复还原原程序，再跳转回原始OEP，执行原程序的代码，我们可以把壳代码理解为一个大的函数，既然是函数，那么进入函数和退出函数时，堆栈应该就是平衡的，基于这样的一种特性，我们可以在壳代码操作了堆栈之后，对堆栈设置访问断点，然后让程序跑起来，当程序暂停的时候，就是壳代码即将执行完的时候，然后在其附近单步跟踪，就可以找到原始OEP了。这种方法比较适用于upx这种只对代码和数据压缩了的壳，如果还对代码加密了，那么就不是太好找了。加密的话就需要结合单步跟踪法。

开始实验

首先写一个demo程序，用upx加壳，操作如下：

没有加壳之前，程序的入口地址为：``ImageBase + AddressOfEntryPoint = 0x004014C0```

OD加载之后也可以看到程序载入内存之后的入口地址：

节区如下，一共有7个节区

加壳之后

入口地址发生了变化

节区的变化，之前有7个节区，现在只有3个节区

通过Study_PE也检测出了壳程序位UPX

加壳程序分析

使用OD加载程序，可以看到OD也提示程序已经被加密或者压缩，壳程序正是对原有程序做压缩或者加密，以达到保护程序，减少程序大小的目的。

OD加载程序之后，可以看到第一条指令为pushad指令。对于壳程序，先pushad，首先将EAX, ECX, EDX, EBX, ESP, EBP, ESI, and EDI寄存器的值压栈，它的作用的保存寄存器的状态，执行壳程序解压（解密）原程序，最后popad恢复寄存器状态，跳到OEP执行原程序

执行pushad指令之后，在ESP内存下硬件访问断点，再次访问到ESP的时候说明壳程序运行结束。按下F9，执行到断点处。

可以看到上一条指令是popad，执行与pushad相反的操作，恢复寄存器状态。

在不远处看到一个大的跳转，jmp demo_upx.004014C0，这里是跳到程序的OEP。

实际上在分析时，我们是先单步到jmp跳转到的代码进行观察之后得出是否是原始OEP的结论的，这个部分需要我们对未加壳程序的OEP要有所了解，比如VC6.0的程序一般OEP最开始的一个API调用是GetVersion，看OEP见到GetVersion就如见到了vc6.0程序。

我们单步到跳转之后的代码处，0x004014C0这个地方就是原始OEP，而后我们要做的就是在这个地方进行dump。

至此，我们已经将upx壳脱掉，并将脱壳的程序命名为dump.exe。但是脱壳之后的程序是无法运行的，这时需要修复导入地址表IAT。

IAT修复

大量实验表明,IAT并不一定位于在导入表中。IAT可以位于程序中任何具有写权限的地方,只要当可执行程序运行起来时,操作系统可以定位到这些IID项,然后根据IAT中标明的API函数名称获取到函数地址即可。

下面我们来总结一下操作系统填充IAT的具体步骤:参考来源

1. 定位导入表
2. 解析第一个IID项,根据IID中的第4个字段定位DLL的名称
3. 根据IID项的第5个字段DLL对应的IAT项的起始地址
4. 根据IAT中的指针定位到相应API函数名称字符串
5. 通过GetProcAddress获取API函数的地址并填充到IAT中
6. 当定位到的IAT项为零的时候表示该DLL的API函数地址获取完毕了,接着继续解析第二个IID,重复上面的步骤。

参考

https://zhuanlan.zhihu.com/p/34263050