干货 | 软件手动脱壳技术

疼迅的大爷

软件手动脱壳是软件逆向及病毒分析最基本的操作，主要为在病毒分析和软件逆向的过程中，帮我们脱掉程序的壳代码，从而方便去分析该程序的关键代码。

什么是加壳
加壳的全称是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。

加壳是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。


什么是脱壳
有矛就有盾，脱壳即去掉软件所加的壳。目前脱壳一般分手动和自动两种，手动就是通过调试工具脱壳，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识；而自动就是用专门的脱壳工具，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付。

软件自动脱壳或者说是机器脱壳的好处是简单，但缺点也很明显，一是不能解决部分手写壳，二是壳代码更新后，之前的脱壳工具就会失效。

什么是OEP
OEP：(Original Entry Point)，程序的入口点。软件加壳一般隐藏了程序真实的OEP（或者用了假的OEP）， 我们需要寻找程序真正的OEP，才可以完成脱壳。

一般加壳程序在使用Ollydbg等动态调试工具时，会停在壳的预处理块。即处在对于程序原始代码块的解压或解密操作之前，在运行完程序自脱壳模块后，会停留在程序加壳之前的OEP位置，此时是dump程序的最佳时期。脱壳时在真实OEP处下int3断点，就可以捕捉到程序代码段完全恢复的状态。因此，寻找加壳程序的正确OEP，也成了手动脱壳时的第一要务。


什么是IAT
IAT：(Import Address Table)，导入地址表。由于导入函数就是被程序调用但其执行代码又不在程序中的函数，这些函数的代码位于一个或者多个DLL中。当PE文件被装入内存的时候，Windows装载器才将DLL 装入，并将调用导入函数的指令和函数实际所处的地址联系起来（动态连接），这操作就需要导入表完成。其中导入地址表就指示函数实际地址。 多数加壳软件在运行时会重建导入地址表，因此获取加壳程序正确的导入地址表也是手动脱壳操作中的一个关键问题。


一、脱壳方法

1 单步跟踪法
单步跟踪法的原理就是通过Ollydbg的单步（F8）、单步进入（F7）和运行到（F4）功能，完整走过程序的自脱壳过程，跳过一些循环恢复代码的片段，并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后，到达OEP，并dump程序。

2 ESP定律法
ESP定律法是脱壳的利器，是应用频率最高的脱壳方法之一。
ESP定律的原理在于程序中堆栈平衡的合理利用。由于在程序自解密或者自解压过程中，不少壳会先将当前寄存器内容压栈，如使用pushad，在解压结束后，会将之前的寄存器值出栈，如使用popad。因此在寄存器出栈时，往往程序代码被自动恢复，此时硬件断点触发。然后在程序当前位置，只需要少许单步跟踪，就很容易到达正确的OEP位置。

3 内存镜像法（二次断点法）
内存镜像法是在加壳程序被加载时，通过OD的ALT+M快捷键，进入到程序虚拟内存区段。然后通过加两次内存一次性断点，到达程序正确OEP的位置。
内存镜像法的原理在于对于程序资源段和代码段下断点，一般程序自解压或者自解密时，会首先访问资源段获取所需资源，然后在自动脱壳完成后，转回程序代码段。这时候下内存一次性断点，程序就会停在OEP处。

4 一步到达OEP
所谓的一步到达OEP的脱壳方法，是根据所脱壳的特征，寻找其距离OEP最近的一处汇编指令，然后下int3断点，在程序走到OEP的时候dump程序。 如一些压缩壳往往popad指令距离OEP或者Magic Jump特别近，因此使用Ollydbg的搜索功能，可以搜索壳的特征汇编代码，达到一步断点到达OEP的效果。


5 最后一次异常法
最后一次异常法的原理是，程序在自解压或自解密过程中，可能会触发无数次的异常。如果能定位到最后一次程序异常的位置，可能就会很接近自动脱壳完成位置。现在最后一次异常法脱壳可以利用Ollydbg的异常计数器插件，先记录异常数目，然后重新载入，自动停在最后一次异常处。


6 模拟跟踪法
模拟跟踪法的原理就是使用Ollydbg下条件断点，SFX相当于是一个自解压段，在自解压段结束时（eip的值转到代码段时），已经距离OEP很近，但是这种跟踪方法会比较耗时。

7“SFX”法
“SFX”法利用了Ollydbg自带的OEP寻找功能，可以选择直接让程序停在OD找到的OEP处，此时自解压已经完成，可以直接dump程序。

二、脱壳实践

UPX压缩壳
首先查壳，通过exeinfo等一些查壳工具，可以直接看到该程序加了UPX压缩壳。


OD附加进程
PUSH AD是保存所有的寄存器环境


单步执行，观察ESP被修改，数据窗口跟随。


在数据位置下硬件访问断点。


运行程序，可以看到恢复了寄存器的环境，也就意味着，马上要跳回之前OEP。


因为我们之前是直接跳过来的，所以会陷入死循环。


双击JMP指令，进去观察，此处就是程序的原OEP。
F4运行到OEP处，或者在OEP处下断点，然后F9运行到此处。


删除硬件断点。


通过OllyDump dump程序。


修改OEP为我们找到的原程序的OEP
注意：此处要填的是RVA，RVA（0x6AA8）=VA（0x406AA8）-ImageBase（0x400000），不选择重建导入表（使用ImportREC工具重建）


选择OD附加的对应程序。


1.修改OEP
2.自动查找IAT
3.获取导入表
（可以查看无效函数，如果无效函数过多则意味着失败）
4.转储到刚才保存的dunp文件


脱壳成功，双击壳运行。



软件手动脱壳技术是病毒分析和软件逆向的基础，是二进制安全研究人员需要掌握的一项技术。了解熟悉壳代码的原理和流程，有助于软件开发者编写更好的壳代码来保护开发的软件不被恶意破解。以功促防，通过了解攻击者的手段和方法，来保护自身的代码。对于网络安全及软件安全感兴趣的朋友也可以学习这项技术，欢迎大家一起讨论交流~

华云安介绍
公司在网络空间威胁治理、漏洞管理、攻防渗透方面具备深厚的技术积累，推出了华云安新一代自适应网络安全威胁与漏洞管理平台，面向网络空间安全领域，基于知识图谱的下一代人工智能引擎，形成自动化的漏洞挖掘、分析、利用、修复与感知能力，进行持续的风险检测和威胁防御，实现漏洞检测、分析、响应的自动化。
“以攻促防，攻防兼备”是公司的核心理念。公司具有一流的网络安全攻防团队，以及漏洞管理、自动化渗透等网络安全产品，提供集网络安全情报能力、防御能力、反制能力于一体的新一代自适应网络安全威胁检测与防御平台。主要服务于国家机构及金融、能源、教育、医疗等关键信息基础设施行业。