各种常见压缩壳的入口点以及ESP定律脱法

from:[url]http://bbs.chinapyg.com/viewthread.php?tid=7229[/url]

 

各种常见压缩壳的入口点以及ESP定律脱法：

UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
ASPack 2.12 -> Alexey Solodovnikov
堀北压缩(KByS)0.28主程序脱壳
PECompact 2.x -> Jeremy Collake
PEncrypt 3.1 Final -> junkcodeeuk
北斗壳 Nspack3.7

一共六款 都是压缩壳 脱之简单 整理一下

 

UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

006055B0 >  60                  pushad
006055B1    BE 00605400         mov esi,STV.00546000                ; 这里使用ESP定律
006055B6    8DBE 00B0EBFF       lea edi, dword ptr ds:[ esi+FFEBB000>
006055BC    C787 C4201600 135F> mov dword ptr ds:[ edi+1620C4],705D>
006055C6    57                  push edi
006055C7    83CD FF             or ebp,FFFFFFFF
006055CA    EB 0E               jmp short STV.006055DA

ESP后 直接到关键 JMP

00605727  ^\E9 28CFF5FF         jmp STV.00562654                   ;F8一次 直接到达OEP
0060572C    44                  inc esp
0060572D    57                  push edi

 

 

ASPack 2.12 -> Alexey Solodovnikov

0044B001 >  60               PUSHAD                                    ; OD载入停在这里
0044B002    E8 03000000      CALL acerip.0044B00A                      ; 观看ESP寄存器 0012FFA4 ESP定律对付

ESP后 OD停到这里

0044B3B0   /75 08            JNZ SHORT acerip.0044B3BA                ; F8一次
0044B3B2   |B8 01000000      MOV EAX,1
0044B3B7   |C2 0C00          RETN 0C
0044B3BA   \68 BC1F4000      PUSH acerip.00401FBC
0044B3BF    C3               RETN                                     ; RETN之后 就跳到OEP

 

堀北压缩(KByS)0.28主程序脱壳

00401000 >/$  68 71EA4A00    PUSH 堀北压缩.004AEA71                        ;  OD载入停到这里~
00401005  |.  E8 01000000    CALL 堀北压缩.0040100B                        ;  这里ESP定律

F9 OD停到这里
004AEA71    B8 83EA0A00      MOV EAX,0AEA83                            ; ESP停到这里
004AEA76    BA 00004000      MOV EDX,堀北压缩.00400000
004AEA7B    03C2             ADD EAX, EDX
004AEA7D    FFE0             JMP EAX
004AEA7F    B1 15            MOV CL,15
004AEA81    0000             ADD BYTE PTR DS:[ EAX], AL
004AEA83    60               PUSHAD
004AEA84    E8 00000000      CALL 堀北压缩.004AEA89                        ; F9一次到这里

F9后 循环返回到这里
00401005  |.  E8 01000000    CALL 堀北压缩.0040100B                       

下面继续F9运行 （大约）15次时 OD有一次明显的时间间隔 然后停到这里

00432A71    B8 E5A70000      MOV EAX,0A7E5                ；停到这里
00432A76    BA 00004000      MOV EDX,堀北压缩.00400000
00432A7B    03C2             ADD EAX, EDX
00432A7D    FFE0             JMP EAX                      ；到这里F7进
00432A7F    B1 15            MOV CL,15
00432A81    0000             ADD BYTE PTR DS:[ EAX], AL
00432A83    60               PUSHAD
00432A84    E8 00000000      CALL 堀北压缩.00432A89

进入后 （Ctrl+A 我这的OD需要分析下代码 ）这里就是OEP
0040A7E5  /.  55             PUSH EBP                        ；OEP
0040A7E6  |.  8BEC          MOV EBP, ESP
0040A7E8  |.  6A FF          PUSH -1
0040A7EA  |.  68 C0F54000    PUSH 堀北压缩.0040F5C0
0040A7EF  |.  68 00BC4000    PUSH 堀北压缩.0040BC00                        ;  SE 处理程序安装
0040A7F4  |.  64:A1 0000000> MOV EAX, DWORD PTR FS:[0]

 

PECompact 2.x -> Jeremy Collake

005B8B60 >  B8 94426000      MOV EAX,MeteorNe.00604294                ; OD载入 停到这里
005B8B65    50               PUSH EAX
005B8B66    64:FF35 0000000> PUSH DWORD PTR FS:[0]
005B8B6D    64:8925 0000000> MOV DWORD PTR FS:[0], ESP                  ; 这里使用ESP定律

006042C3    83C4 04          ADD ESP,4     // ESP定律后挺到这里，向下找找关键跳转
006042C6    55               PUSH EBP
006042C7    53               PUSH EBX
006042C8    51               PUSH ECX
006042C9    57               PUSH EDI
006042CA    56               PUSH ESI
006042CB    52               PUSH EDX
…………中间代码省略
00604350    5A               POP EDX
00604351    5E               POP ESI
00604352    5F               POP EDI
00604353    59               POP ECX
00604354    5B               POP EBX
00604355    5D               POP EBP
00604356    FFE0             JMP EAX             //这里的 CALL应该是跳向OEP呀~~   

 

PEncrypt 3.1 Final -> junkcodeeuk

OD载入：
004E3600 > $  B8 00E05500    MOV EAX,MediaFix.0055E000   //停到这里 F8单步一次
004E3605   .  FFD0          CALL EAX                                     //F7跟进此 Call
004E3607      2C             DB 2C                                     ;  CHAR ','
……
F7跟进 CALL：
0055E000   /E9 25010000      JMP MediaFix.0055E12A           //这里的跳转是实现的 我们F8一次即可
0055E005   |57               PUSH EDI
0055E006   |65:6E            OUTS DX, BYTE PTR ES:[ EDI]                ; I/O 命令
……
F8一次后停到这里：
0055E12A    58               POP EAX                                  ; MediaFix.004E3607  //停到这里，我们在该代码下方找到第一个retn语句 并下断
0055E12B    E8 16030000      CALL MediaFix.0055E446
0055E130    48               DEC EAX
……中间无用代码省去
0055E2A7    F3:A4            REP MOVS BYTE PTR ES:[ EDI], BYTE PTR DS:[>
0055E2A9    59               POP ECX
0055E2AA    5F               POP EDI
0055E2AB    5E               POP ESI
0055E2AC    C3               RETN                                  //这就是第一个 retn语句，下断，运行停在这里。F8一次 即可通往OEP

我这还得Ctrl+A分析下
004E3600 > $  55             PUSH EBP                                  ;  MediaFix.0055E005 // OEP
004E3601   .  8BEC          MOV EBP, ESP
004E3603   .  83C4 F0       ADD ESP,-10
004E3606   .  53             PUSH EBX
004E3607   .  B8 F0324E00    MOV EAX,MediaFix.004E32F0
004E360C   .  E8 8737F2FF    CALL MediaFix.00406D98

 

北斗壳 Nspack3.7

0057A867 >  9C               PUSHFD                                    ; OD载入后停到这里
0057A868    60               PUSHAD                                    ; 我们在这里ESP定律即可
0057A869    E8 00000000      CALL 流星Nisy.0057A86E

0057AAD9  - E9 5AF5F8FF      JMP 流星Nisy.0050A038                      ; ESP定律后到这里 F8一次到OEP
0057AADE    8BB5 A1F9FFFF    MOV ESI, DWORD PTR SS:[ EBP-65F]
0057AAE4    0BF6             OR ESI, ESI
0057AAE6    0F84 97000000    JE 流星Nisy.0057AB83

0050A038      55             DB 55                                     ;  CHAR 'U'//这里Ctrl+A分析一下就可以了
0050A039      8B             DB 8B
0050A03A      EC             DB EC
0050A03B      83             DB 83
0050A03C      C4             DB C4
0050A03D      EC             DB EC
0050A03E      53             DB 53                                     ;  CHAR 'S'

Ctrl+A分析后的代码：
0050A038   .  55             PUSH EBP
0050A039   .  8BEC          MOV EBP, ESP
0050A03B   .  83C4 EC       ADD ESP,-14
0050A03E   .  53             PUSH EBX
0050A03F   .  56             PUSH ESI

 

脱壳的各种方法

常见脱壳知识：
1.PUSHAD （压栈） 代表程序的入口点,
2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近拉！
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），只要我们找到程序真正的OEP，就可以立刻脱壳。

方法一：
1.用OD载入，不分析代码！
2.单步向下跟踪F8，是向下跳的让它实现
3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点--运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，这样很快就能到程序的OEP
6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
7.一般有很大的跳转，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。

方法二：
ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没出现。
2.在命令行下：dd 0012FFA4(指在当前代码中的ESP地址)，按回车！
3.选种下断的地址，下硬件访问WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP，脱壳

方法三：
内存跟踪：
1：用OD打开软件！
2：点击选项--调试选项--异常，把里面的忽略全部√上！CTRL+F2重载下程序！
3：按ALT+M,DA 打开内存镜象，找到第一个.rsrc.按F2下断点，
然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到.RSRC上面的CODE，按F2下断点！
然后按SHIFT+F9，直接到达程序OEP，脱壳！

方法四：一步到达OEP（前辈们总结的经验）
1.开始按Ctrl+F,输入：popad（只适合少数壳，包括ASPACK壳），然后按下F2，F9运行到此处
2.来到大跳转处，点下F8，脱壳之！

方法五：
1：用OD打开软件！
2：点击选项--调试选项--异常，把里面的√全部去掉！CTRL+F2重载下程序
3：一开是程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按F9到程序运行的次数！
4：CTRL+F2重载程序，按SHIFT+F9（次数为程序运行的次数-1次
5：在OD的右下角我们看见有一个SE 句柄，这时我们按CTRL+G，输入SE 句柄前的地址！
6：按F2下断点！然后按SHIFT+F9来到断点处！
7：去掉断点，按F8慢慢向下走！
8：到达程序的OEP，脱壳！