脱壳艺术:逆向工程与壳的对抗

4星 · 超过85%的资源 需积分: 7 59 下载量 185 浏览量 更新于2024-09-26 1 收藏 564KB PDF 举报
"脱壳的艺术,一本深入讲解脱壳技术的PDF教程,旨在介绍逆向工程中的壳和反逆向策略。" 在计算机安全和逆向工程的领域中,"脱壳"是一项至关重要的技能,它涉及到对软件进行深度分析以揭示其内部工作机制,尤其是在面对加壳软件时。"脱壳的艺术"这本书全面地阐述了这一主题,不仅讲解了壳的基本概念,还深入探讨了如何应对各种复杂的反逆向技术。 壳,通常分为压缩壳和加密壳,其主要目的是保护程序免受未经授权的访问,如防止知识产权泄露、软件篡改和盗版。然而,恶意软件也利用壳来隐藏其恶意行为,使得分析和检测变得更加困难。随着技术的发展,壳的反逆向技术也在不断升级,增加了脱壳的复杂性。 该教程首先介绍了壳的工作原理,包括如何加载原始程序,以及如何在执行过程中隐藏其真实代码。接着,它详细讨论了壳常采用的反逆向技术,如反调试、代码混淆、动态地址计算等,这些都是为了让逆向分析人员难以理解程序的行为。同时,书中也提到了一些常见的反反逆向策略,如使用动态分析工具来跟踪运行时行为,或者通过内存转储技术来获取程序的原始状态。 对于那些致力于恶意代码分析的研究人员来说,理解并掌握这些技术至关重要,因为这可以帮助他们在面对加壳恶意软件时,能够更有效地分析其行为,识别潜在的威胁。另一方面,对于软件开发者而言,了解这些反逆向技术也有助于他们在自己的代码中实施有效的保护措施。 教程中还提到,尽管某些壳可能通过简单的手段就能脱壳,但面对复杂的加密壳,可能需要更深入的跟踪和分析。例如,在重建输入表或集成脱壳功能到反病毒产品时,就需要深入分析壳的加密机制。此外,当反逆向技术被直接应用到恶意程序中,以防止其恶意行为被追踪和分析时,熟悉这些技术显得尤为重要。 "脱壳的艺术"提供了丰富的信息和实用的工具,帮助读者理解和应对壳中的反逆向策略,无论是为了分析恶意代码还是保护自己的软件。书中的案例研究和链接资源为读者提供了进一步学习的途径,使其能够在不断变化的逆向工程环境中保持与时俱进。
2009-01-07 上传
脱壳 步骤 脱壳步骤 壳的概念: 所谓“壳”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。 壳的作用: 1.保护程序不被非法修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 壳和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测壳的软件 PEID v0.92 这个软件可以检测出 450种壳 新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到壳的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的壳 下面进行 步骤2 脱壳 对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。 脱壳成功的标志 脱壳后的文件正常运行,功能没有损耗。 还有一般脱壳后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。 关于脱壳有手动脱壳和自动脱壳 自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了 手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符中输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外壳软件 UPX SHELL v3.09 UPX 外壳程序! 目的让UPX的脱壳加壳傻瓜化 注:如果程序没有加壳 那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。 脱完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加壳文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户中的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or