脱壳基础(一)

1、PE文件:
    Microsoft设计了一种新的文件格式Portable Executable File Format(可移植的执行体即PE格式)，该格式应用于所有基于Win32的系统：Windows NT、Windows 2000、Win32s及Windows 95/98。

2、基址（ImageBase ）:
    是指装入到内存中的EXE或DLL程序的开始地址，它是Win32中的一个重要概念。 在Windows NT中，缺省的值是40000h;对于DLLs，缺省值为100000h。在Windows 95中，10000h不能用来装入32位的执行文件，因为该地址处于所有进程共享的线性地址区d3f2，因此Microsoft将Win32可执行文件的缺省基地址改变为400000h。

3、RVA:
    相对虚拟地址（Relative Virual Address），是某个项相对于文件映象地址的偏移。
例如：装载程序将一个文件装入到虚拟地址空间中，从
10000h开始的内存中，如果PE中某个表在映像中的起始地址是10464h,那么该表的RVA就是464h。
d0e9拟地址(RVA)a3bdc6abd2c6地址a3ab基址（ImageBase )

4、Entry Point:
    入口点，就是程序在完成了对原程序的还原后，开始跳转到刚还原程序执行，此时的地址就是入口点的值


5、SEH技术:
　　结构化异常处理（StructuredExceptionHandling，SEH）是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关。外壳程序里大量地使用了SEH，如果不了解SEH，将会使你跟踪十分困难。由于Ollydbg　对SEH处理异常灵活，因此脱壳用Ollydbg会大大提高效率

6、给自己穿件衣服……壳?:
    所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。
　　当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序，这就是我们找OEP的原因了。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为“壳”了。
（PS：壳是指在一个程序的外面加上另外一段代码，保护里面的代码不被非法修改或者反编译。）

7、查壳:
    原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分，利用这点就可识别出是何种语言编编译的。同样，不同的壳也有其特征码，利用这点就可识别是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt，用户可以自定义一些特征码，这样就可识别出新的文件类型，当然有些外壳程序为了欺骗PEiD等文件识别软件，会伪造启动代码部分，例如将入口代码改成编程语言程序入口处类似代码，即可达到欺骗目的。所以，文件识别工具所给出的结果只是个参考，文件是否被加壳处理过，还得跟踪分析程序代码才可得知。对于菜鸟我们可以看EP区段或者看PEID的扩展信息看有没有壳~。
(PS:查壳和木马病毒查杀差不多|其实是十万八千里|)


8、没有绝对的安全……脱壳:
脱壳主要有两种方法：硬脱壳和动态脱壳。
第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于现在的壳有加密、变形、虚拟环境等等特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，
第二种，是动态脱壳。加壳的程序运行时必须还原成原始形态，就是加壳程序运行后必须进行解压到程序的文件头。所以我们可以用OD跟踪到OEP的原因。这个时候我们就可以抓取（Dump）内存中的镜像，再重构成标准的执行文件。这样我们就脱壳了。
(PS:现在的加密壳更复杂一点，需要我们考虑的东西就更多了。)