脱壳操作

常规操作

1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在push ebp代码处)。

2、生成转存文件:打开LordPE,选中程序的进程,右键“修正镜像大小”,然后右键“完整转存”,输入文件名,保存。此步也可用OD自带的插件进行,在代码区右键“用OllyDump脱壳调试进程”,此外如果勾选了“重建输入表”,后面就不需要再用ImportREC修正输入表了,如果不勾选,则需要进入第3步的操作。输入文件名,保存。

3、修正输入表:打开ImportREC,附加到程序的进程,输入寻找到的OEP地址(即OEP处的push ebp这句代码的地址),注意,输入的是偏移地址,如OEP的地址为:00403831,输入时只须输入3831即可。输入地址后,点击“自动查找IAT”按钮,然后点击“获取输入表”,点击“显示无效函数”,如果存在无效函数,则可在无效函数上右键“剪切指针”去除无效函数。最后点击“修复转存文件”按钮,选择在第二步中生成的转存文件,确定,脱壳即可完成。

 

异常处理:

1、提示数据错误

运行脱壳后的程序时,提示数据错误。此错误一般是由附加数据引起的。查壳时,比如NsPack 1.4 -> Liuxingping [Overlay] *,其中的[Overlay]即说明该程序存在附加数据,而对脱壳后的程序进行查壳,就没有了[Overlay],所以需要把附加数据从源文件添加到脱壳后的文件中。此问题的处理方式为:

(1)打开LordPE,“PE编辑器”按钮,选择原始程序(未脱壳的),打开,进入编辑器界面,点击“区段”按钮,进入区段表界面,查看最后一个区段的ROffset和RSize两个值,这两个值相加的结果即为附加数据的起始地址。以下以相加结果为00028400为例。

(2)打开WinHex(注意,如果WinHex打开时有问题,一般是目录没设置好,设置方法为菜单“选项”->“综合选项”(有的叫“常规”),进入设置界面,此界面中的临时文件目录和镜像备份目录必须是存在的,如果不存在,打开时就会提示错误)。用WinHex打开未脱壳的原始程序,找到上一步中得到的地址,在该地址处“选块开始”,然后在最末尾处“选块结束”,将选中的块Ctrl+C复制。

(3)用WinHex打开脱壳后的文件,在文件的末尾处粘贴,保存文件,即可解决脱壳后的程序数据错误的问题。

2、手动查找IAT信息

在修正输入表时,输入OEP地址后,可以“自动查找IAT”,也可以手动查找,查找方法为:

(1)OD载入,到达OEP后,在代码区域随便找一句调用系统函数的代码(call 系统函数),在这句代码上右键“跟随(Enter)”,即可找到有大片jmp的地方,上滚到第一个,该条数据中的地址减去基址再往前走4-8个字节(一般可使用8个字节)即为IAT的开始地址(RVA),如第一个jmp为:

004C8988  - FF25 0C014E00   JMP DWORD PTR DS:[4E010C]                ; ADVAPI32.RegCloseKey

则IAT的开始地址为:4E010C - 400000 - 8= E0104。

下滚到这一片jmp的最后一条(中间有INT3之类的可以忽略),如:

004C93CA  - FF25 E80E4E00   JMP DWORD PTR DS:[4E0EE8]                ; OLEAUT32.VariantInit

则IAT的结束地址为:4E0EE8 - 400000 + 8= E0EF0。

则IAT的大小为:E0EE8 - E010C = DEC。

(2)OD载入,到达OEP后,F8单步走,遇到调用系统函数的地方,F7步入,也可到达大片jmp的地方。计算方法同(1)。

 

 

你可能感兴趣的:(脱壳操作)