脱壳基础知识入门

----------------<小A分>----------------一、概论壳出于程序作者想对程序资源压缩、注册保护的目的，把壳分为压缩壳和加密壳(强壳)两种"UPX" "ASPCAK" "TELOCK" "PELITE" "NSPACK(北斗)" ... "ARMADILLO" "ASPROTECT" "ACPROTECT" "EPE(王)" "SVKP" ...顾名思义，压缩壳只是为了减小程序体积对资源进行压缩，加密壳是程序输入表等等进行加密保护。

当然加密壳的保护能力要强得多！-----------<小A分割线>-------------二、工具的认识OllyDBG ring3 shell层级别的动态编译工具、PEid、ImportREC、LordPE、softIce ring0级别调试工具-------------<小A分割>-------------------三、常见手动脱壳方法预备知识1.PUSHAD （入栈/压栈）代表程序的入口点,2.POPAD （弹栈/出栈）代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。

------------<小A分割线>--------------------方法一：单步跟踪法1.用OD载入，点“不分析代码！”2.单步向下跟踪F8，实现向下的跳。

也就是说向上的跳不让其实现！（通过F4）3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入7.一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN 的一般很快就会到程序的OEP。

常见脱壳知识：1.PUSHAD （压栈）代表程序的入口点2.POPAD （出栈）代表程序的出口点，与PUSHAD想对应，一般找到这个OEP 就在附近拉！3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），只要我们找到程序真正的OEP，就可以立刻脱壳。

开始正式介绍方法啦！！方法一：1.用OD载入，不分析代码！2.单步向下跟踪F8，是向下跳的让它实现3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——运行到所选）4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，这样很快就能到程序的OEP6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入7.一般有很大的跳转，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。

方法二：ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）1.开始就点F8，注意观察OD右上角的寄存器中ESP有没出现。

2.在命令行下：dd 0012FFA4(指在当前代码中的ESP地址)，按回车！3.选种下断的地址，下硬件访问WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP，脱壳方法三：内存跟踪：1：用OD打开软件！2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！3：按ALT+M,DA打开内存镜象，找到第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,DA打开内存镜象，找到.RSRC上面的CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP，脱壳！方法四：一步到达OEP（前辈们总结的经验）1.开始按Ctrl+F,输入：popad（只适合少数壳，包括ASPACK壳），然后按下F2，F9运行到此处2.来到大跳转处，点下F8，脱壳之！方法五：1：用OD打开软件！2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序！3：一开是程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按F9到程序运行的次数！4：CTRL+F2重载程序，按SHIFT+F9（次数为程序运行的次数-1次5：在OD的右下角我们看见有一个SE 句柄，这时我们按CTRL+G，输入SE 句柄前的地址！6：按F2下断点！然后按SHIFT+F9来到断点处！7：去掉断点，按F8慢慢向下走！8：到达程序的OEP，脱壳！前言细细回忆,学习Crack技术已经快2个月了,期间我学会的东西远比我以前任何一年内学的东西都多(专指计算机程序及系统了解情况)说到学脱壳也是最近一个月的时间,开始总是到处询问学习脱壳的方法,大多的答案就是看雪老大的书,谁也没有正面回答过.于是就自己摸索,略有一点思路,老大们估计是认为理所当然,对于我们小菜来说还是说白了比较合适.在这里我就班门弄斧一回,其实主要也是帮助一些朋友能更快的摸到门,不至于对只会照猫画虎,这些也是我当初我想问的那些问题的答案，都是些很基础的东西，说得不好还请高手指正.在此感谢看雪老大提供了如此之好论坛供大家学习交流，还写了一本很好的书指导像我这样的菜鸟，也感谢网上众多高手贡献出自己的脱壳手记,特别感谢heXer老大对本菜鸟的细心指点!顺便说一句,脱壳特别需要的是兴趣和耐心，如果没有耐心就......;)废话了一堆,我们下面进入正题:)结合娃娃Wom的新KG说说一般面对一个壳的简单分析方法一、找OEP脱壳的一般流程是:查壳->寻找OEP->Dump->修复查壳没什么好说的，FI和PEiD，不幸的是FI和PEiD都不能识别出这个壳:)我找OEP的一般思路如下：先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为1、jmp OEP2、push OEPret3、call OEP当然也有其他的，如je OEP等等，一般都是段之间的大跳转，OD的反汇编窗口里都是同一个段的内容，所以更好区别是否是段间跳转『这里我说说关于F8(Step Over)和F7(Step in)的一般方法，粗跟的时候一般都是常用F8走，但是有些call是变形的Jmp，此时就需要F7代过，区别是否是变形Jmp的一个简单方法是比较call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了，用F7走』对于加密壳，我的方法一般是用OD载入，钩掉所有异常（不忽略任何异常，有时由于异常过多可以适当忽略一些异常），运行，数着用了多少次Shift+F9程序运行，显然最后一次异常后，程序会从壳跳到OEP开始执行，这就是我们寻找OEP的一个关键，而对于这个壳可知是加密壳，Shift+F9 16次后运行，重来，Shift+F1 15次后到这0042CBD3 ^\73 DC jnb short kill_luj.0042CBB10042CBD5 CD 20 int 200042CBD7 64:67:8F06 0000 pop dword ptr fs:[0] <---这里一般的处理方法是找到pop fs:[0]处下断点或者是[esp+4]处下断点，如果学习一下SEH 的处理会更好些0012FF58 0012FFE0 Pointer to next SEH record0012FF5C 0042CBB7 SE handler <---这里一般包含Anti-Debug的代码0012FF60 0042CB8A RETURN to kill_luj.0042CB8A from kill_luj.0042CB90我首选第一种,在0042CBD7处下断之后,耐心的用F7走,因为变形call太多了...,关键注意一下往回跳的跳转,寻找合适的位置跳出循环,有耐心的话你就能这样走到OEP了;) 当然你也可以用另一个好东西——Trace,在Command里来个tc eip<42b000 （42b000是当前段的起始位置，滚动条拖到最上面就能看到了,一般程序编译的基地址为400000），OK，稍等一会我们就会停在这了（如果是ASPr可能要几分钟了)00419F68 55 push ebp <----停在这00419F69 8BEC mov ebp, esp00419F6B 83C4 F0 add esp, -10呵呵，OEP找到了;)当然，这个用PEiD就能找到OEP，比较一下，是不是一样:D，对于用PEiD找到的OEP 可以直接G到OEP此时就可以Dump了，用LordPE来Dump吧，由于有Anti－Dump，所以要先Correct Imagesize一下再Dump二、修复IAT由于加密壳对输入表进行了重定位，所以现在的文件还不能正常使用，我们的目标就是恢复它，先用ImportREC，填入正确的OEP, IA T AutoSearch, Get Import，无效的不少，Show Invalid, 右键->Trace Level1(Disasm)，失败！！看来是只有自己恢复了。

第26课asprotect脱壳系列[例 1]chap707 asprotect0.94b加壳用脱壳最基本的方法――esp硬件断点法很快来到这里push eax eax＝442B98retn由retn返回即来到入口点oep，oep等于442B98。

用ollydump插件dump转储程序，注意“重建输入表”选项不要打对勾，因为asprotect这个壳比较复杂，我们需要用import reconstructor重建输入表。

注意：oep输入42b98，点IAT AutoSearch按钮；然后，点Get Imports按钮，再点右上方的show invalid按钮。

如图：231个指针没有认出来，不要惊慌，莫要害怕。

如图，右键选取1级修复。

修复后结果如下：接着，show invalid，选取2级、3级修复，可是很郁闷，这一个还是没有解决掉，还是1个。

关于asprotect的插件还很多，我们逐个试吧。

asprotect#1无效果，asprotect#2亦无效。

所有的均无效。

于是，只能猜函数了：如上图：这之间的出名的函数不多，我们最容易想到的就是跟壳密切相关的一个著名函数GetProcAddress，双击指针，如下图，在弹出的窗口中选取GetProcAddress，点ok即可至此，全部指针修复成功。

点Fix Dump按钮，选中刚才dump的文件即可。

脱壳成功![例 2]unpackme asprotect1.23RC1加壳Olly载入目标程序，“调试选项”中，忽略内存异常打上勾，其余全部不打勾。

如图：F9运行，出现异常，shift＋F9 16次后程序运行。

故重新载入程序，F9运行，出现异常，shift＋F9 16－1＝15次后来到这里。

00E22CD1 3100 xor dword ptr ds:[eax],eax 00E22CD3 64:8F05 00000000 pop dword ptr fs:[0]00E22CDA 58 pop eax00E22CDB 833D 7C6DE200 00 cmp dword ptr ds:[E26D7C],0 00E22CE2 74 14 je short 00E22CF800E22CE4 6A 0C push 0C00E22CE6 B9 7C6DE200 mov ecx,0E26D7C00E22CEB 8D45 F8 lea eax,dword ptr ss:[ebp-8] 00E22CEE BA 04000000 mov edx,400E22CF3 E8 54E1FFFF call 00E20E4C00E22CF8 FF75 FC push dword ptr ss:[ebp-4]00E22CFB FF75 F8 push dword ptr ss:[ebp-8]00E22CFE 8B45 F4 mov eax,dword ptr ss:[ebp-C] 00E22D01 8338 00 cmp dword ptr ds:[eax],000E22D04 74 02 je short 00E22D0800E22D06 FF30 push dword ptr ds:[eax]00E22D08 FF75 F0 push dword ptr ss:[ebp-10] 00E22D0B FF75 EC push dword ptr ss:[ebp-14] 00E22D0E C3 retn以上红色所示的都是标志性的语句。

【脱壳一般流程】查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)【工具介绍】1、查壳PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样）工作原理：核心是userdb.txt（大家看看就完全明白了）[通过壳的入口特征码进行辨认]使用方法：可以拖放、也可以把PEID添加到右键菜单里面去FI--功能强大的侦壳工具，DOS界面。

使用方法：可以拖放、可以使用DO S命令行2、寻找OEPollydbg的四个区域左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值.右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Ef lag的值,对于寄存器,指令执行后发生改变的寄存器会用红色突出显示.cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态.左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息.右下角的是当前堆栈情况,还有注释啊.几个经常使用的快捷键F2：在需要的地方下断点（INT3型断点）F3：选择打开程序F4：运行到所选择的那一行F7：单步进入F8：单步跟踪F9：执行程序（运行程序）其中要特别讲一下3个F9的区别和作用：根据Ollydbg.hlp的中文翻译Shif t+F9 -与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。

Ctrl+F9 - 执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新CPU数据。

因为程序是一条一条命令执行的，所以速度可能会慢一些。

按Esc键，可以停止跟踪。

Alt+F9 - 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新CPU 数据。

脱壳基本知识在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。

它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

以下是由店铺整理关于脱壳知识的内容，希望大家喜欢!壳的概念从技术的角度出发，壳是一段执行于原始程序前的代码。

原始程序的代码在加壳[1] 的过程中可能被压缩、加密……。

当加壳后的文件执行时，壳-这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。

软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP(入口点，防止被破解)。

作者编好软件后，编译成exe可执行文件。

1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2.需要把程序搞的小一点，从而方便使用。

于是，需要用到一些软件，它们能将exe可执行文件压缩，3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

实现上述功能，这些软件称为加壳软件。

脱壳软件加壳一般属于软件加密，越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。

脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。

而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX;有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。

另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付各种压缩软件的压缩档。

在这里介绍的是一些通用的方法和工具，希望对大家有帮助。

我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。

下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考：脱壳的基本原则就是单步跟踪，只能往前，不能往后。

外壳程序解压还原后就会跳到OEP处执行，此时内存映像文件是己解压的程序。

这时就可抓取内存映像文件了（该过程称为Dump）。

当然不一定非要在程序原入口点抓取，只要能保证内存映像文件是己还原的就行了。

继续上一个实例notepad.upx.exe，到OEP后就可以Dump取内存映像文件：
004010CC55push ebp
004010CD8BEC mov ebp,esp
004010CF83EC44sub esp,44
运行LordPE.EXE，点击Options，默认选项如下：
默认选上“Fulldump:pasteheaderfromdisk”，PE头的信息直接从磁盘文件获得。

设置好后，在LordPE的进程窗口选择notepad.upx.exe，点击右键，执行“dumpfull”菜单命令。

如图：
将内存抓取的文件另存为dumped.exe，此时程序还不能运行，接下来就是重建输入表。

怎样使用脱壳软件使用脱壳软件是指将一个已经加壳和加密的程序进行去壳操作，以便分析其内部机制和功能。

脱壳操作可以帮助安全研究人员和逆向工程师了解加壳程序的运行方式，分析其潜在的恶意行为和风险，并可能发现潜在的漏洞和安全问题。

下面将介绍一般的脱壳过程和常用的脱壳软件。

一、脱壳软件使用的一般过程：2. 选择适合的脱壳软件：根据目标程序的特征和加壳方式选择合适的脱壳工具。

常见的脱壳软件有OllyDbg、x64dbg、IDA Pro等。

3.加载加壳程序到脱壳软件中：将获取到的加壳程序文件加载到所选的脱壳软件中，通常通过点击软件的“打开”或“载入”按钮来实现。

4.设置断点：在脱壳软件中设置断点，断点可以是程序入口点、解密函数等位置，以便在程序执行过程中暂停执行，并进行相应的分析。

5.运行加壳程序：运行被加载的加壳程序，让其开始执行。

通常，加壳程序在运行时会进行解密、反调试等处理，因此需要在适当的时机暂停执行。

6.分析解密过程：当加壳程序暂停时，可以通过逆向工程和调试工具分析解密过程。

可以查看内存中解密后的内容以及解密算法的具体实现，并将其保存下来。

7.脱壳并验证：经过分析和调试，获取到解密后的内容后，可以将其保存并进行验证。

验证过程可以是检查解密后的内容和原程序的差异、运行解密后的程序以验证其功能等。

8.分析被脱壳程序：对脱壳的程序进行进一步分析，可能需要使用其他反汇编工具、动态分析工具和调试工具等进行代码阅读、数据流分析、函数调用跟踪等操作。

9.编写报告和总结：根据脱壳过程和分析结果，编写报告和总结，记录分析过程中发现的问题、风险和建议。

二、常用的脱壳软件：1. OllyDbg：这是一款非常流行的反汇编和调试工具，适用于Windows系统，可用于脱壳加壳的程序、病毒、逆向等操作。

2. x64dbg：这是一款免费的32位和64位反汇编和调试工具，提供了易于使用的界面和强大的功能，适用于Windows系统。

3. IDA Pro：这是一款高级的静态反汇编工具，可用于对加密代码进行分析和逆向工程，支持多种CPU架构和文件格式。

第三十一章-脱壳简介原定本章是要介绍P-CODE的Part3,然后再介绍脱壳的。

但是很多朋友跟我说P-CODE,WKT的教程有很多,并且现在P-CODE的应用程序已经很少了,没有必要过多的介绍P-CODE,希望我能够多讲讲壳,提高大家脱壳的能力。

所以说本章我们开始讨论壳,首先要给大家明确一点,壳的种类繁多(PS:这里说种类繁多,并不准确,种类也就那么几种,压缩壳,加密壳,虚拟机壳,所以说应该是数量多,之前发过一篇帖子收集了T4社区的各种脱壳脚本,充斥着各种各样的壳,大家可以看看),所以接下来的章节,我不会介绍所有的壳,只会给大家介绍壳的基本概念以及原理,还有几个具体壳的实例,大家不要指望看完本教程将能搞定所有壳,本教程的目的在于帮助大家理解壳的原理,锻炼大家解决未知壳的能力,大家要学会举一反三,触类旁通。

本章我们将介绍壳的基本概念,这对我们后面脱壳是大有裨益的,大家不要因为简单,就忽视它,后面章节,我们会介绍一些手工脱壳的实例。

首先大家可能会问为什么要给程序加壳?(PS:其实地球人都知道,嘿嘿)我们知道一个未加壳或者脱过壳的程序修改起来很方便,但是如果一个加过壳或者自修改的程序,要想修改它就比较困难了,我们在入口点(PS:这里指的入口点是壳的入口点)处修改程序是不起作用的,只有当壳把原程序区段解密完成后修改才能起作用。

加过壳的程序,原程序代码段通常是被加密过的,我们想修改它就不那么容易了。

加壳程序给目标程序加壳的原理通常是加密/压缩原程序各个区段,并且给目标程序添加一个或者多个区段作为原程序的引导代码(壳代码),然后将原程序入口点修改为外壳程序的入口点。

如果我们将加过壳的程序用OllyDbg加载的话,OllyDbg会停在壳的解密例程的入口点处,由此开始执行。

壳的解密例程(外壳程序)首先会定位加密/压缩过的原程序的各个区段,将其解密/解压,然后跳转至OEP(程序未加壳时的入口点)处开始执行。

现在我们来看一个最简单的壳,UPX壳,大家可以去下面网址中下载一个GUI版,名称为GUiPeX_Setup。