使用OllyDbg从零开始Cracking-31第三十一章-脱壳简介.pdfVIP

第三十一章-脱壳简介 原定本章是要介绍P-CODE的Part3,然后再 介绍脱壳的。但是很多朋友跟我说P-CODE ,WKT的教程有很多,并且现在P-CODE的应 用程序已经很少了,没有必要过多的介绍P -CODE,希望我能够多讲讲壳,提高大家脱 壳的能力。所以说本章我们开始讨论壳, 首先要给大家明确一点,壳的种类繁多(PS :这里说种类繁多,并不准确,种类也就那 么几种,压缩壳,加密壳,虚拟机壳,所以说 应该是数量多,之前发过一篇帖子收集了T 4社区的各种脱壳脚本,充斥着各种各样的 壳,大家可以看看),所以接下来的章节,我 不会介绍所有的壳,只会给大家介绍壳的 基本概念以及原理,还有几个具体壳的实 例,大家不要指望看完本教程将能搞定所 有壳,本教程的目的在于帮助大家理解壳 的原理,锻炼大家解决未知壳的能力,大家 要学会举一反三,触类旁通。 本章我们将介绍壳的基本概念,这对我们 后面脱壳是大有裨益的,大家不要因为简 单,就忽视它,后面章节,我们会介绍一些 手工脱壳的实例。 首先大家可能会问为什么要给程序加壳?( PS:其实地球人都知道,嘿嘿) 我们知道一个未加壳或者脱过壳的程序修 改起来很方便,但是如果一个加过壳或者 自修改的程序,要想修改它就比较困难了, 我们在入口点(PS:这里指的入口点是壳的 入口点)处修改程序是不起作用的,只有当 壳把原程序区段解密完成后修改才能起作 用。 加过壳的程序,原程序代码段通常是被加 密过的,我们想修改它就不那么容易了。 加壳程序给 目标程序加壳的原理通常是加 密/压缩原程序各个区段,并且给 目标程序 添加一个或者多个区段作为原程序的引导 代码 (壳代码),然后将原程序入口点修改 为外壳程序的入口点。 如果我们将加过壳的程序用OllyDbg加载 的话,OllyDbg会停在壳的解密例程的入口 点处,由此开始执行。 壳的解密例程 (外壳程序)首先会定位加密 /压缩过的原程序的各个区段,将其解密/ 解压,然后跳转至OEP (程序未加壳时的入 口点)处开始执行。 现在我们来看一个最简单的壳,UPX壳,大 家可以去下面网址中下载一个GUI版,名称 为GUiPeX_Setup。 /guipex/ 安装好以后运行起来。 我们加壳的对象就选择大家熟悉的CrueHe ad的CrackMe,首先我们不加壳将其加载到 OllyDbg中。 我们可以看到其入口点是401000,也就是 说,运行它,将从401000地址处开始执行。 现在我们用GUiPeX将其加壳,解密其区段, 并且将入口点修改为解密例程 (外壳程序) 的起始地址。 当我们运行加壳后的CrackMe,首先会从解 密例程开始执行,解密例程会解密原程序 各个区段,然后定位到位于原程序代码段 中的入口点,也就是大家常说的OEP (Origi anl Entry Point),即401000,接着跳往OE P处开始执行原程序代码。 下面我们就来讨论CrueHead这个被加过壳 的CrackMe,该CrackMe的OEP位于何处我们 已经清楚了。 我们将该CrackMe保存一份备份并将其放 到一个安全的地方,比如说桌面,因为接下 来我们需要将加过壳的CrackMe与原始的C rackMe进行对比。 打开GUiPeX。 我们将CrackMe拖拽到上面那个窗口中。 我们可以看到上面窗口中显示出了带加壳 的CrackMe的完整路径。后边的Commands( 命令)选项我们选择Compress(压缩)。 通过这个工具我们可以给 目标程序压缩或 者解压缩。 然后我们按Run按钮就开始给该CrackMe加 壳了。 我们可以看到UPX Output窗口中显示该Cr ackMe加壳成功了。 我们将加壳后的CrackMe重命名为CRACKM UPX.EXE。 我们会发现加壳后要比原来的小很多,加 壳程序给原程序添加了额外的代码来保护 原程序,体积反而变小了,嘿嘿。 我们将加壳后的CrackMe运行起来,可以看 到跟原CrackMe运行效果一样。 现在我们用两个OllyDbg分别加载CRACKM UPX.EXE和CRACKME.EXE,比较一下两者有 什么不同。 CRACKME.EXE的入 口点 CRACKME UPX.EXE的入 口点 正如大家所看到的,CRACKME UPX的入口点 变成了409BF0,将从这里开始执行解密例 程,如果我们定位401000地址处,会发现找 不到原程序的代码任何踪迹。 正如大家所看到的原程序的代码段是空的 ,即