脱壳艺术.docVIP

脱壳的艺术 Mark Vincent Yason 概述：脱壳是门艺术——脱壳既是一种心理挑战，同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧，逆向分析人员有时不得不了解操作系统的一些底层知识，聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者，也牵涉到那些决心躲过这些保护的脱壳者。 本文主要目的是介绍壳常用的反逆向技术，同时也探讨了可以用来躲过或禁用这些保护的技术及公开可用的工具。这些信息将使研究人员特别是恶意代码分析人员在分析加壳的恶意代码时能识别出这些技术，当这些反逆向技术阻碍其成功分析时能决定下一步的动作。第二个目的，这里介绍的信息也会被那些计划在软件中添加一些保护措施用来减缓逆向分析人员分析其受保护代码的速度的研究人员用到。当然没有什么能使一个熟练的、消息灵通的、坚定的逆向分析人员止步的。 关键词：逆向工程、壳、保护、反调试、反逆向 1简介 在逆向工程领域，壳是最有趣的谜题之一。在解谜的过程中，逆向分析人员会获得许多关于系统底层、逆向技巧等知识。 壳（这个术语在本文中既指压缩壳也包括加密壳）是用来防止程序被分析的。它们被商业软件合法地用于防止信息披露、篡改及盗版。可惜恶意软件也基于同样的理由在使用壳，只不过动机不良。 由于大量恶意软件存在加壳现象，研究人员和恶意代码分析人员为了分析代码，开始学习脱壳的技巧。但是随着时间的推移，为防止逆向分析人员分析受保护的程序并成功脱壳，新的反逆向技术也被不断地添加到壳中。并且战斗还在继续，新的反逆向技术被开发的同时逆向分析人员也在针锋相对地发掘技巧、研究技术并开发工具来对付它们。 本文主要关注于介绍壳所使用的反逆向技术，同时也探讨了躲过/禁用这些保护措施的工具及技术。可能有些壳通过抓取进程映像（dump）能够轻易被搞定，这时处理反逆向技术似乎没有必要，但是有些情况下加密壳的代码需要加以跟踪和分析，例如： 需要躲过部分加密壳代码以便抓取进程映像、让输入表重建工具正确地工作。 深入分析加密壳代码以便在一个反病毒产品中整合进脱壳支持。 此外，当反逆向技术被恶意程序直接应用，以防止跟踪并分析其恶意行为时，熟悉反逆向技术也是很有价值的。 本文绝不是一个完整的反逆向技术的清单，因为它只涵盖了壳中常用的、有趣的一些技术。建议读者参阅最后一节的链接和图书资料，以了解更多其他逆向及反逆向的技术。 笔者希望您觉得这些材料有用，并能应用其中的技术。脱壳快乐！ 2 调试器检测技术 本节列出了壳用来确定进程是否被调试或者系统内是否有调试器正在运行的技术。这些调试器检测技术既有非常简单（明显）的检查，也有涉及到native APIs和内核对象的。 FS段寄存器指向当前的TEB结构，在TEB偏移0x30处是PEB指针，通过这个指针即可取得PEB的地址。 实现方法： __asm　　{　　mov eax,fs:[0x30] 　　mov PEB,eax} #define PEB_BASE (0x7FFDF000) typedef struct _PEB { // Size: 0x1D8 UCHAR InheritedAddressSpace; //0x000 UCHAR ReadImageFileExecOptions; //0x001 UCHAR BeingDebugged; //0x002 UCHAR SpareBool; //0x003 Allocation size HANDLE Mutant; //0x004 HINSTANCE ImageBaseAddress; //0x008 Instance VOID *DllList; //0x00C PPROCESS_PARAMETERS *ProcessParameters; //0x010 ULONG SubSystemData; //0x014 HANDLE DefaultHeap; //0x018 KSPIN_LOCK FastPebLock; //0x01C ULONG FastPebLockRoutine; //0x020 ULONG FastPebUnlockRoutine; //0x024 ULONG EnvironmentUpdateCount; //0x028