码迷,mamicode.com
首页 > 其他好文 > 详细

脱壳经验(一)--脱壳感想

时间:2014-07-22 23:15:33      阅读:315      评论:0      收藏:0      [点我收藏+]

标签:问题   re   c   代码   工作   时间   

教程倒没有,说一下脱壳感想吧!

我们拿到一个壳,如想深入了解,非深入跟踪不可,那是没什么捷径可言的!你要付出的是大量的时间和思考分析,如果不能做到,请放弃吧,也是对自己的身心的一种尊重和关心!

如果你是一个期代脱壳tips的人,做起脱壳来很容易感到空虚的...

(工具以Ollydbg为例)
遇上一个陌生壳,请不要太慌张,做一些简单的分析先,明确一下壳的类型、级别。就 saft103 说说,虽然脱壳论坛已经有介绍和一些“壳霸”对其手到拿来,但我们可以先抛开这些道听途说,认真地跟踪一下(可以参考一下我的一篇梦游之说)。

先运行这个壳,浏览一下系统活动进程,我们初次发现它是个单进程,用Ollydbg附加一下这个“单进程”,发现不行,原来它是“明花有主”的,为了找出“主人”,我们要从头展开进一下跟踪(因为我们已经假设自己对壳什么都不认识)。

我们会有一些结论,花指令不耐用(白话:挜碴),异常发生都是顺序向下走的,于是我们如果再遇到同样类似的情况(最后到OEP指令前,我们可以遇到同样的 情况,不用每个异常都Into),就可以不一一跟踪了,用鼠标拉动滚动条向下,留意可疑的地方,在这些地方用上下键查看指令,如果找到“零佘不同”--没 法说清楚是一种感觉来的,直接在那里下断,应该是关键的执行或解码!我们可以发现时间反跟踪做得比较单一呆版,只要补丁其相关的 API 就能杀它个干干净净;

在“梦游之说”中,我们发现 壳 会实现注入功能(这是我们发现壳的第一个特色,利用注入依附系统服务程序,使调试难度增大,一般来说我们不大可能调试系统服务程序的线程,所以父进程稳居 “教宗”地位,神圣而不可侵犯),感觉如同“金蝉脱壳”般,而且相关的操作我们都能一目了然,如果这时这个是你陌生的认识,赶快学一把(偶是,就翻了一下 API手册和DelphiChm手册,幸好能找到,就认识认识)!父进程退出设计成压入堆栈运行,虽然不是什么新鲜事,但是个妙的动作来的,很干净地了断 父进程,值得学习!

好了,明确了壳的动作,我们要自己改变其运行父进程。在父进程运行中,同样会有反跟踪的,自己留意吧。首先,我们要问我们自己监视父进程要做什么监视?我 们想出来再跟踪:父进程必定要运行子进程,子进程哪来?是同一个祖宗的呀!但它会走不一样的路成长。它的成长是父进程指引的,所以我们要获取父进程的“指 引”,GetContext和SetContext是父进程指引子进程的主要方式来的,当然你是可以从中获得“指引”的方向;另外父进程也会负责帮子进程 初始化和解码,自己应该想到 WriteProcessMemory 和 ReadProcessMemory !通过分析父进程代码和跟踪我们可以发现,父进程只负责一次初始化和一次解码,其余的只监视子进程有否自行问“长短”。(其实父进程和子进程之间的联系是 很清晰的,只要你的代码分析能力很强,就可以少用动态跟踪,偶不行,只能在它们之间来回奔走,开了两个Ollydbg)

子进程也有对父进程的检测,发现父亲有“外遇”,就会宣告“脱离父子关系”。子进程会遇上车祸“非法驾驶”,造成“失血过多”,也会要求索取父进程的 DNA ,如果 DNA 不符,就会造成“输血失误”,子进程就会“误服哀哉”!

如果上面没有问题,子进程就继续生活下去,脱态换骨[解码],在长大前会不断“长毛”[iat增肥加密计划],最后就Show出成年后的 StolenCode Show,再之后就在父进程的无形庇护下独立生活下去。

看完了壳的ShowTime后,我们应该心里有数,脱壳已经不是Impassable,我会想到直跑子进程一直到脱壳,这时我又想到了“壳 魔”fxyang的话,再回头看看它先前的脚本,哈哈,原来我们最终都走差不多的路...,学脱壳做脱壳不是一种炫耀,而是从中找出自己的方向,不认识的 不明白的要多问自己为什么,我经常都是自己解决的,印象深刻,不必去死记什么bp 这个,CD那个B之类的,遇到新奇趣怪的的要 Mark in your Memory(脑和存储File)。

这个壳给我的感觉是温柔了点,好些地方是做得呆板单一,比如Game Over的地方做得太认真,一点也不含糊迷惑,但都要有一定的工作量才能脱好的,另外资源部分方面做了隐藏,解压后才出现,又再做毛手毛脚,别忘了要 Dump完整!如果把这个壳的每一个点都照出来,那样脱壳就太没意思了,犹如行尸走肉,永远得不到脱壳的真正乐趣(或者你会以脱壳破解某个加壳软件的功能 限制为乐趣,但我说的不是这个)!

如果不幸遇上变态壳,呵呵,不要死顶,Take it Easy,Give up in some time, some time in charge!每个人的能力和认识都不同,没必要去跟人比,除非你们有约定,要比就要比自己,比过去,比现在,还是将来...那是你的事!

如果这草稿不幸被列为精华,希望能为你找到自己的脱壳方向--适当要问自己为什么...

脱壳经验(一)--脱壳感想,布布扣,bubuko.com

脱壳经验(一)--脱壳感想

标签:问题   re   c   代码   工作   时间   

原文地址:http://www.cnblogs.com/milantgh/p/3861349.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!