脱壳基础(二)

外壳初始化的现场环境（各寄存器值）与原程序的现场环境是相同的。加壳程序初始化时保存各寄存器的值，外壳执行完毕，会恢复各寄存器内容。其代码形式一般如下：
PUSHFD　　　　;将标志寄存器入栈保存　　
PUSHAD　　　　;pusheax,ecx,edx,ebx,esp,ebp,esi,edi

　　 ……　　　　　;外壳代码部分
　　
POPAD　　　　　;popedi,esi,ebp,esp,ebx,edx,ecx,eax　
POPFD　　　　　;恢复标志寄存器
　　
JMPOEP　　　　; 跨段转移指令到OEP

OEP:……　　　　　;解压后的程序原代码

1、常见脱壳知识：
pushfd╲
        （入栈）代表程序的入口点的数据
pushad╱

popad╲
       （出栈）代表程序的出口点的数据或者是PUSH PUSHAD这样
popfd╱ 

或者
PUSHAD （压栈） 代表程序入口点

POPAD （出栈） 代表程序出口点

出现出栈后一般经过RETN或者JMP等指令，发生跨断跳跃一般就到了OEP了(*^__^*) 嘻嘻……


2、找OEP:
    程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），只要我们找到程序真正的OEP，就可以立刻脱壳。当然也有其他的，如 je OEP等等，一般都是段之间的大跳转，OD的反汇编窗口里都是同一个段的内容，所以更好区别是否是段间跳转。 找OEP时注意两点。
   1单步往前走，不要回头。
   2观察。注意poshad、poshfd,popad、popfd等，和外壳代码处对应，注意地址发生大的变化。单步跟踪什 么时候F8走，F7,F4步过？这里我说说关于F8(Step Over)和F7(Step in)的一般方法，粗跟的时候一般都是常用F8走，但是有些call是变形的Jmp，此时就需要F7代过，区别是否是变形Jmp的一个简单方法是比较call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了，用F7走。对于Call的距离很远，可以放心用F8步过，如果你再用F7步过，只是浪费时间而已。F8步过对压缩壳用的很多，F7步过加密壳用的很多，如果用F8一不小心就跑飞（程序运行），跟踪失败。
(PS:OEP是OriginalEntryPoint缩写，即程序加壳前的真正的入口点)

3、加密壳VS压缩壳:
加壳软件按照其加壳目的和作用，可分为两类：
    1、是压缩（Packers）;
    2、是保护（Protectors）;
    压缩这类壳主要目的是减小程序体积，如ASPacK、UPX和PECompact等。另一类是保护程序，用上了各种反跟踪技术保护程序不被调试、脱壳等，其加壳后的体积大小不是其考虑的主要因素，如ASProtect、Armadillo、EXECryptor等。随着加壳技术的发展，这两类软件之间的界线越来越模糊，很多加壳软件除具有较强的压缩性能，同时也有了较强的保护性能。
    如何分辨加密壳压缩缩壳，通用特点，Od载入时有入口警告或询问是压缩程序吗？普通压缩壳Od调试时候没有异常加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常。所以调试的时候需要注意！

4、加密壳找OEP
对于加密壳，我的方法一般是用最后一次异常法~
    OD载入，钩掉所有异常（不忽略任何异常，除了忽略在KERNEL32 中的内存访问异常打勾。有时由于异常过多可以适当忽略一些异常），运行，数着用了多少次Shift+F9程序运行，显然最后一次异常后，程序会从壳跳到OEP开始执行，这就是我们寻找OEP的一个关键，如果程序Shift+F9后直接退出，很明显加密壳检测调试器，最简单的应付方法就是用插件隐藏。
    单步异常是防止我们一步步跟踪程序，即F8,F7，F4等，Int3中断是检测调试器用的，仅在Win9x系统中有效，2000/XP就会出现断点异常,其它的异常主要是干扰调试。这一系列的异常虽然干扰我们调试，但也给我们指明了一条通路，就是Shift+F9略过所有异常，然后找到最后一处异常，再它的恢复异常处下断点，跟踪到脱壳入口点。确定从所有SEH异常中走出来，如果前面有大量循环，逐段解压。
    当然你也可以用另一个好东西--Trace,在Command里来个tc eip<42b000 （42b000是当前段的起始位置，滚动条拖到最上面就能看到了,一般程序编译的基地址为400000），42b000只是例子，如果你的下模拟跟踪时机很准，确定没有Seh异常，稍等一会我们就会停在OEP处(对特别加密壳需要大量时间跟踪，因为它的循环极多，但比手动跟踪快，大部分时候是的。)详细跟踪情况可以点运行跟踪看OD跟踪记录。