.上节说的是单步跟踪法,这节讲的是利用堆栈平衡(ESP定律)来进行脱壳!想必大家都听说过ESP定律这个大名吧!ESP定律运用的就是堆栈平衡原理!
一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把eax,ecx,edx,ebx,esp,ebp,esi,edi都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通常会用POPAD(相当与把eax,ecx,edx,ebx,esp,ebp,esi,edi都出栈),通过跨区段的转移来跳到程序的OEP来执行原程序!
在脱壳的时候,我们可以根据堆栈平衡来对ESP进行下断,进而快速到达OEP!
我们用OD来载入上节课加了UPX的壳的Delphi7.0的程序,当单步过pushad以后,会把各个寄存器的值压入堆栈中!
004629D0 > 60 PUSHAD // 把所有的寄存器压栈!
004629D1 BE 00F04300 MOV ESI,0043F000
004629D6 8DBE 0020FCFF LEA EDI,DWORD PTR DS:[ESI+FFFC2000]
这个为寄存器窗口各个寄存器的值:
这个为没有步过pushad语句的堆栈窗口的值:
这个为步过pushad语句的堆栈窗口的值:
很明显,经过pushad语句以后,所有的寄存器的值都进行了压栈,也就是保存环境!
此时的ESP指向是 0012FF6C,我们来对它下硬件访问断点,我们在寄存器窗口,右键==》数据窗口跟随,在数据窗口的前四个字节,下硬件访问断点 ==》 dword断点!
按F9运行程序,外壳代码处理结束以后,调用popad指令来恢复环境,在访问这些堆栈的时候,会被OD捕获并中断下来,此时,已经离程序的OEP不再遥远了!
00462B75 61 POPAD
00462B76 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80] ; 断在了这里
00462B7A 6A 00 PUSH 0
00462B7C 39C4 CMP ESP,EAX
00462B7E ^ 75 FA JNZ SHORT 00462B7A
00462B80 83EC 80 SUB ESP,-80
00462B83 ^ E9 109FFEFF JMP 0044CA98 //经过上节的分析,得知这个跨区段的转移是跳向OEP的!
ESP定律不一定非得在ESP的值为0012FFA4的时候才能运用,合理的运用会使脱壳变得很简单!再告诉大家一个经验吧!ESP定律不只是适用于压缩壳,ESP定律灵活的运用,同样的适用于加密壳(类似VMP等!)。下面我引用看雪论坛的Lenus在他的广义ESP定律里说过的几句话(顺便PS下,我把堆栈平衡原理放到了附录):
“ 首先,告诉你一条经验也是事实---当PE文件运行开始的时候,也就是进入壳的第一行代码的时候。寄存器的值总是上面的那些值,不信你自己去试试!而当到达OEP后,绝大多的程序都第一句都是压栈!(除了BC编写的程序,BC一般是在下面几句压栈)
现在,根据上面的ESP原理,我们知道多数壳在运行到OEP的时候ESP=0012FFC4。这就是说程序的第一句是对0012FFC0进行写入操作!
最后我们得到了广义的ESP定律,对只要在0012FFC0下,硬件写入断点,我们就能停在OEP的第二句处! ”
附下载版文章:
http://www.2cto.com/uploadfile/2012/1205/20121205071227412.zip