写在前面的话:
Aspack是最常见的一种压缩壳,具有较好的兼容性、压缩率和稳定性,今天我们就来一起分析一下这个壳;
零、分析压缩壳:
0、在开始动态调试前,用PEID和LoadPE查看一些信息,做到心中有数;
1、了解了基本的信息后,我们将文件拖到调试器中,进行分析;
分析之前,要明确以下几点,这也是我们的目的(分析时,该做些什么);
I). 找到原始OEP
II). dump文件;
III). 如果需要修复文件,则进行修复,一般IAT;
IV). 如果程序仍然无法运行,去掉脱壳后的随机基址,再次尝试;
V). 如果仍然有问题,单步跟踪;
程序入口点处,有个pushad,根据这个,其实可以知道,这个PE文件,8成加过壳了
第一步,找OEP;
遇到这种pushad/pushfd之类的,我们寻找OEP的方法就是ESP定律,有pushad,就一定会有popad,那就会访问到pushad后ESP的位置;
因此,首先单步运行(F7),在ESP地址处,下断【硬件访问】
下完断点后,F9运行程序,会在我们下断点的位置处触发断点:
说明壳的代码,基本执行完毕了,接下来,就单步,顺利的话,一般会有些jmp,跳转到未加壳之前PE的OEP处,这里,就需要
我们对程序的OEP处的敏感信息有所警惕了,什么样的程序,OEP都有什么样的特征,这样也可以帮助我们对OEP的判断;
单步几次后,程序跳转到这个位置,注意下:
A) 地址010F11D2,跳转之前的地址约么在01107425,有些跨度,要注意了;
B) call xxx; jmp xxx,典型的VS编译的程序的特征,加上PEID查看到的链接器版本12.0,初步推断,是VS2013编译的;
为了进一步验证我们的推断,看下CALL里的内容
到这里,找到了证据,因此,我们认为,这个位置,就是原程序的OEP;
在开始dump之前,看下它的IAT信息,结合刚刚call中的函数,调试器已经正确的标识出了函数名,其实,我们可以猜想,这个壳
对IAT并没有做加密操作;【附录:FF 15 表示的call,就是在call IAT表,call后就是IAT地址,正常的call是E8】
我们可以看到,IAT表里存放的就是真实的函数地址,并没有加密,因此,我们可以开始dump了;
附录:如果地址显示是16进制,需要转为地址格式,进行查看:
第二步,dump(x32dbg的dump和OD不同,OD的就不再介绍了,在32dbbg里,用到了一个插件Scylla)
PS:看到这个插件,不禁想起了大学时光,那些年我们都在越狱;
脱壳完成了,能运行吗,尝试下:
无法运行,根据最初我们的步骤,猜测是重定位导致的问题,先把随机基址去掉,重新运行下:
修改40为00
保存后,重新运行:
成功,说明确实是随机基址导致的问题,因此,为了完美解决问题,我们需要修复重定位表;
第三步,修复重定位
其实到这一步,我们已经结束了,既然知道了重定位表的地址,便可以知道原PE文件的RVA和Size,拖到loadpe中修改就行了,
至于说那个搞破坏的那部分代码,不用管它,因为OEP改变后,壳的那部分代码已经不执行了,还有什么必要去修改它呢;
保存后,我们再运行下,看看:
至此,脱壳成功;
一、ASPACK压缩壳特点:
0. 并未加密IAT,可在x32dbg中,Scylla进行修复;
1. 只需要找到重定位的RVA和大小就行了;不用理会壳自身对重定位的改动;
2. 可以利用ESP定律定位到OEP;
结语:整体来看,在脱壳的时候,虽说是压缩壳,但是,只要找到那几个关键的步骤点,我们是没有必要去搞懂具体是怎么压缩的;
因为,压缩千变万化,当然,如果想练习下阅读汇编的能力,是推荐读者找个壳,自己仔细单步分析下的;