UPX脱壳

工具：

OD（Ollydump插件），PEID，LordPE，ImportReconstructor

脱壳源文件：恶意代码分析实战第一章课后实验01-02.exe

先使用PEID查壳：

可以发现是UPX的壳

UPX的壳有几种很方便的脱壳方法

脱壳的基本思路：找到OEP，恢复IAT，DUMP内存

方法一：pushad+popad

UPX的壳的标志性特征是：在外壳的第一条指令是pushad

pushad所对应的就会有popad

所以我们在OD中使用查找功能，查找popad（Ctrl+F）

第一个找到了这个

这个不是我们需要的（两个方式来看：1.popad和pushad是相互对应的，这个popad的上方已经有了对应的pushad；2.壳的第一条命令地址是0x405410，要找到的popad的地址肯定是大于这个的）

第二个找到了我们的需要的

看到0x405585这个popad，下面有个jmp 00401190（这里就是我们的OEP）

这个地址满足了一个long jump，且底下都是00，说明壳的解密部分已经完成，已经可以跳转到源程序执行

停留在OEP处，然后使用工具Ollydump

注意：这里要选择勾选：重建输入表（IAT），且选择方式2（方式1脱壳下来的文件是没有IAT的，运行不起来）

点击脱壳，另存为，再用PEID查壳

说明脱壳完成

方法二：F8单步法

这种方法的理论依据是：壳的作用是对源程序进行了某种形式的打包，或是加密，或是压缩，但是有加壳，就一定会有脱壳。程序中一定需要有自解密，虽然我们不知道程序是怎么加密解密的，但是，在内存之中一定会有某个位置会成功的解开壳来执行我们的源程序。只要在那里，我们停下来进行IAT转储以及dump内存等，就可以成功脱壳。
（这种思路只能针对非常非常简单的壳了，现在的大多流行壳都是壳里有肉，肉里有壳的，这种理解思路太局限太狭窄了）

在具体的脱壳技术实现上，表现在：我们可以顺序执行壳的代码，直到找到我们的OEP

顺序执行不是说一条一条执行，而是在一直往下走，当遇到循环时跳过，继续往下执行（这就跳过了很多次的重复操作）

举例如下：

这里要往405420跳，所以是个明显的循环，我们到00405433按下F4，跳过这个循环，继续往下走，知道找到OEP

方法三：ESP断点法（堆栈平衡法）

适用于一些古老的壳，这些壳会用pushad保存寄存器环境，在解密完毕之后跳往OEP之前，会使用popad指令恢复环境

F8，单步一次

选择在数据窗口跟随

选中前四个字节，下硬件访问的断点

然后F9执行，就到了这儿

注意停在了哪里：上一条指令正好是popad！

说明利用的是堆栈平衡原理，在pushad的时候，是保存了寄存器环境，当执行完popad，正好恢复了寄存器环境，这时候正好满足了堆栈平衡~~~

底下就看到了OEP