又是社团大佬讲的东西,只不过这次没有讲好,大佬中途出了点问题没法脱壳,我就自己研究一下
1.前置准备
先去网上找个UPX加壳软件,然后给exe程序加壳(但不是所有程序都支持加壳,也有加壳工具不支持的文件)
我选择的exe是自己用codeblock写的简单的程序
链接编译生成try.exe
由于网上找到工具加壳要的结果和预期的不一样,就去下载了命令行版的加壳程序upx.exe
使用方法,进入upx.exe目录
把try.exe放入当前目录加壳
查看upx壳,PEID和DIE都能识别壳
2.OD单步法脱壳
先来查看加壳前的堆栈
加壳后的堆栈
第一句话就是pushad,把从EAX到EDI寄存器压入堆栈,保存现场(原来的值)
使用单步法,先一步步向下查看,直到找到POPAD语句出现的地方,因为一般UPX壳都是加在原程序的上方
单步执行按F8,遇到向下跳转不用管继续按(截图和实验程序无关)
遇到向上跳转,选中它下一行代码按F4继续向下执行,不会跳转回去(注意左边黑色箭头代表向上跳转)(截图和实验程序无关)
我们单步向下运行,然后运行到一个地方的时候会无法继续向下,观察附近的代码,程序入口(OEP)很大可能就在附近
当我运行到一个点时,程序会进入循环且会无法继续单步,这时命令窗口就将数据打印出来了,说明程序已执行。
当然一般的UPX壳程序是在POPAD命令以后才出现OEP的,这里情况有点特殊
点击插件>ollyDump>脱壳在当前调试的进程,将脱壳的程序保存(只有在找到OEP才能脱壳,不然生成的程序不会成功打印结果)
能成功运行
(待完善)