概述
脫殼是一項綜合技術，結(jié)合PE文件格式枫匾、匯編指令的分析迅诬，調(diào)試加密的程序并將其還原的一個過程。
殼一般分為兩種婿牍，加密殼和壓縮殼侈贷，里面所使用的技術有，壓縮算法、對代碼加密俏蛮、對IAT加密撑蚌、對資源加密。
我們從簡單入手-壓縮殼搏屑。

脫殼三步法
1尋址OEP
2dump內(nèi)存到文件
3修復文件
脫殼三步法-尋址OEP技巧
1堆棧平衡法(ESP定律)
殼代碼就像一個函數(shù)争涌，進入時會開辟堆棧、保存寄存器環(huán)境辣恋，退出時會恢復堆棧亮垫、恢復寄存器。所以應該是堆棧平衡的伟骨，那我們可以在殼代碼操作了堆棧后對堆棧設置訪問或?qū)懭霐帱c饮潦，然后運行程序，當斷點命中的時候携狭，應該就是退出殼代碼的時候继蜡。在其附近單步幾次，應該就能到達程序的原始OEP逛腿。
2特征定位法
在我們熟悉的程序中稀并，我們可以使用特征來定位程序原始OEP。特征有幾種：
① 二進制特征
比如release版的VS2013是:
E8????????E9 call jmp
② API特征
比如vc6.0的第一個API調(diào)用是：
GetVersion
比如Delphi程序第一個API調(diào)用是：
GetModuleHandleA
3單步跟蹤法
這種方法一般使用在分析自己加殼的程序或者是練習分析殼時单默。
脫殼-0.aspack.exe
1尋址OEP
ESP定律
2dump內(nèi)存

image.png

3修復文件

image.png

注意：如果程序有隨機基址碘举，脫殼后需要把隨機基址標志位置0.

殼代碼的基本流程
① 保存寄存器環(huán)境
② 加載一些必要的API
③ 解密代碼和數(shù)據(jù)
④ 修復重定位
⑤ 填充IAT
⑥ 恢復寄存器環(huán)境

=========================

分析殼代碼-0.aspack.exe
① 殼OEP

image.png

② 加載必要API

image.png

③ 解密解壓縮代碼

image.png

④ 修復重定位

image.png

⑤ 修復IAT
001D726F 03F2 ADD ESI,EDX ; esi=導入表結(jié)構(gòu)
001D7271 8B46 0C MOV EAX,DWORD PTR DS:[ESI+0xC] ; 獲取模塊DLL名稱RVA
001D7274 85C0 TEST EAX,EAX
001D7276 0F84 0D010000 JE 00_aspac.001D7389
001D727C 03C2 ADD EAX,EDX ; 加上基地址，字符串VA
001D727E 8BD8 MOV EBX,EAX
001D7280 50 PUSH EAX
001D7281 FF95 A90F0000 CALL DWORD PTR SS:[EBP+0xFA9] ; 獲取模塊基地址
001D7287 85C0 TEST EAX,EAX
001D7289 75 07 JNZ SHORT 00_aspac.001D7292
001D728B 53 PUSH EBX
001D728C FF95 AD0F0000 CALL DWORD PTR SS:[EBP+0xFAD]
001D7292 8985 A9050000 MOV DWORD PTR SS:[EBP+0x5A9],EAX ; 保存模塊基地址
001D7298 C785 AD050000>MOV DWORD PTR SS:[EBP+0x5AD],0x0
001D72A2 8B95 88040000 MOV EDX,DWORD PTR SS:[EBP+0x488] ; 獲取基地址
001D72A8 8B06 MOV EAX,DWORD PTR DS:[ESI] ; 獲取指向OrignalFirstThunk RVA
001D72AA 85C0 TEST EAX,EAX
001D72AC 75 03 JNZ SHORT 00_aspac.001D72B1
001D72AE 8B46 10 MOV EAX,DWORD PTR DS:[ESI+0x10]
001D72B1 03C2 ADD EAX,EDX ; 計算得出 OrignalFirstThunk VA
001D72B3 0385 AD050000 ADD EAX,DWORD PTR SS:[EBP+0x5AD] ; 0
001D72B9 8B18 MOV EBX,DWORD PTR DS:[EAX] ; 獲取INT中的數(shù)據(jù)搁廓，即指向函數(shù)名稱的 RVA
001D72BB 8B7E 10 MOV EDI,DWORD PTR DS:[ESI+0x10] ; 獲取 FirstThunk
001D72BE 03FA ADD EDI,EDX ; 計算得出 IAT 地址
001D72C0 03BD AD050000 ADD EDI,DWORD PTR SS:[EBP+0x5AD] ; 0
001D72C6 85DB TEST EBX,EBX ; 判斷結(jié)束
001D72C8 0F84 A5000000 JE 00_aspac.001D7373
001D72CE F7C3 00000080 TEST EBX,0x80000000 ; 判斷是否是序號
001D72D4 75 04 JNZ SHORT 00_aspac.001D72DA
001D72D6 03DA ADD EBX,EDX ; 指向函數(shù)字符串結(jié)構(gòu)=INT[i]+模塊基地址
001D72D8 43 INC EBX ; 減去2引颈，跳過字符串結(jié)構(gòu)的序號
001D72D9 43 INC EBX
001D72DA 53 PUSH EBX ; 保存寄存器環(huán)境
001D72DB 81E3 FFFFFF7F AND EBX,0x7FFFFFFF ;去掉序號
001D72E1 53 PUSH EBX ; 壓入字符串或是序號
001D72E2 FFB5 A9050000 PUSH DWORD PTR SS:[EBP+0x5A9]
001D72E8 FF95 A50F0000 CALL DWORD PTR SS:[EBP+0xFA5] ; 獲取函數(shù)地址
001D72EE 85C0 TEST EAX,EAX
001D72F0 5B POP EBX ; 恢復寄存器環(huán)境

⑤ 修改屬性，跳轉(zhuǎn)原始OEP

image.png