单步跟踪法脱壳

1 查壳 用PEID等查壳工具查看所需要破解的程序是否加壳了,加的什么壳。PEID的工作原理大家看看PEID目录下的userdb.txt文件就知道了,PEID通过壳的入口特征码进行辨认程序是加了什么壳

用PEID查壳的结果如下图,可以看出程序加了ASPack2.12的壳 title

2 寻找OEP (1)用OD载入该程序 title

(2)使用F8单步补过,在靠近入口处的第一个call(call 0040D00A)使用F7单步步入, 在call子程序中使用F8单步补过,没有发现有用的信息,在靠近入口的第二个call(call 0040D014使用F7单步步入,否则程序会跑飞,下图是刚进入第二个call处的截图 title

(2)根据"单步跟踪法"中的原则,一步一步调试,遇到向上跳转,则将鼠标点到该跳转的下一行,然后F4运行到这一行(如果让程序向上跳转,则可能程序往反方向跳转,无休无止,也就找不到OEP),向下跳转则不用处理,需要注意的是绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现,在下面的注释窗口会有该提示,下图就是一个没有实现的跳转 title

(2)按照步骤(3)中的方式执行很快就会看到下图现象,出现了popad这条指令,然后 push 004010CC,将004010CC这个地址入栈,后面紧跟着一个retn,程序就会返回到 004010CC这个地址继续执行程序,004010CC与当前地址0040D3BF之间有个很大的跳转,由此可以判断马上将到达程序的OEP, title

(2)在retn上在按下F8单步步过即可到达OEP(OEP地址004010CC) title

3 脱壳(Dump) (1)在OEP(OEP地址004010CC)处使用OD插件脱壳,在004010CC上点击鼠标右键, 选择该菜单下的Dump debugged process,会弹出如下对话框,从下图最底Rebuild Import选项下可以看出该插件提供了两种脱壳方式 title

(2)分别用Method1和Method2脱壳,点击Dump按钮然后选择文件的保存位置即可脱壳 title

(3)当然也可以用LordPE来脱壳,选中要脱壳的进程notepad.exe,因为使用OD加载的时候已经启动该进程 title

(4)在该进程上右键,选择该菜单下的修正镜像大小,结果如下图 title

(5)在该进程上右键,选择该菜单下的完整转存(也有的翻译是完全脱壳),会弹出文件保 存位置对话框,填好文件名称后保存即可,成功后会弹出如下对话框 title

(6)再次用PEID检测unpack1.exe、unpack2.exe、unpack3.exe,会发现程序已经是无壳的 title

(7)分别打开已经脱壳完成的unpack1.exe、unpack2.exe、unpack3.exe,会发现unpack3.exe运行后出现如下错误,则在该种情况下需要修复资源 title

4 修复 (1)使用到的修复工具是ImportFix,打开ImportFix,打开notepad.exe这个进程,因为用OD载入加壳程序notepad.exe后,会产生notepad.exe这个进程(此时需要OD中将程序调试运行到OEP处,即004010CC处,否则在下面的自动查找IAT会失败) title

(2)将OEP那一栏修改成刚才在OD中找到的OEP地址000010CC,然后点击自动查找 IAT,则RVA和大小这一栏中数据会改变 title title title

(3)点击确定后,点击获取输入表按钮,结果如下图,其中找到的输入表函数里面的函数 是程序运行需要的一些系统API title

(4)点击显示无效函数后,发现没有,在点击修复转存文件按钮,选择要修复的unpack3.exe 文件 title

(5)完成后会在记录这一列表框中显示结果,修复后的文件保存名字为unpack3_.exe title

(6)打开unpack3_.exe,发现程序能正常运行,则修复成功 title