脱壳基础知识入门

脱壳基础知识入门

现在加解密发展己形成2个分支了，一个就是传统的算法，另一个就是加密壳。越来越多的软件采用了密码学相关算法，现在要做出一个软件注册机己不象前几年那么容易，这就要求解密者必须要有一定的数学功底和密码学知识，而这些在短时间内是不容易掌握的。除了密码学的应用，越来越多的软件加壳了，因此要求解密者必须掌握一些脱壳技术，这就使得壳成了解密必须迈过的一个门槛。壳发展到今天，强度越来越高了，将许多人挡在门外，使得大家望壳兴叹。另外，论坛现在两极分化比较严重，高手讨论的脱壳技术新手看不懂，很多人想学脱壳，但看到壳这么难，只好放弃了，造成新手与高手间一个断档，为了鼓励更多新人加入脱壳的行列，很有必要将壳有关知识总结一下。主页提供的教学确实有点过时了，己到非更新不可了。相对于密码学算法，脱壳并不难，只要肯花时间，短期内还是比较容易取得成绩的。

第一课PE格式

要想学脱壳，第一步就得掌握PE格式，PE是Portable Executable File Format（可移植的执行体）简写，它是目前Windows平台上的主流可执行文件格式。

Microsoft Visual C++提供的WINNT.H里有PE数据结构的完整定义。

推荐文档：

ah007翻译的“PE文件格式”1.9版

qduwg翻译的PE文件格式

Iczelion's的PE文件格式

PE结构各字段偏移参考

学习PE格式的方法是自己先准备一个十六进制工具，如HexWorkshop，WinHex，用这些工具打开一个EXE文件对照着学。强烈推荐你用Stud_PE v.2.2.0.5这款工具辅助学习PE格式。PE格式学习的重点是在输入表（Import Table）这块。Stud_PE工具界面：

PE结构图：

第二课SEH技术

结构化异常处理（Structured Exception Handling，SEH）是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关。

外壳程序里大量地使用了SEH，如果不了解SEH，将会使你跟踪十分困难。

SEH in ASM研究(一)by hume

SEH in ASM研究(二)by hume

Structured Exception Handling

加密与解密二版菜鸟学习笔记(2)-SEH结构化异常处理by ytcswb

由于Ollydbg对SEH处理异常灵活，因此脱壳用Ollydbg会大大提高效率。

附CONTEXT结构环境：

代码:

typedef struct_CONTEXT{

/*000*/DWORD ContextFlags;

/*004*/DWORD Dr0;

/*008*/DWORD Dr1;

/*00C*/DWORD Dr2;

/*010*/DWORD Dr3;

/*014*/DWORD Dr6;

/*018*/DWORD Dr7;

/*01C*/FLOATING_SAVE_AREA FloatSave;

/*08C*/DWORD SegGs;

/*090*/DWORD SegFs;

/*094*/DWORD SegEs;

/*098*/DWORD SegDs;

/*09C*/DWORD Edi;

/*0A0*/DWORD Esi;

/*0A4*/DWORD Ebx;

/*0A8*/DWORD Edx;

/*0AC*/DWORD Ecx;

/*0B0*/DWORD Eax;

/*0B4*/DWORD Ebp;

/*0B8*/DWORD Eip;

/*0BC*/DWORD SegCs;

/*0C0*/DWORD EFlags;

/*0C4*/DWORD Esp;

/*0C8*/DWORD SegSs;

/*0CC*/BYTE ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];

/*2CC*/}CONTEXT;

第三课认识壳

1.什么是壳？

在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，就把这样的程序称为“壳”了。

推荐文档：

一切从“壳”开始

描述壳的示意图：

2.壳的加载过程

这里谈的加壳工具不是WinZIP、WinRAR等数据压缩工具，而是谈压缩可执行文件EXE或DLL的工具。加壳过的EXE文件是可执行文件，它可以同正常的EXE文件一样执行。用户执行的实际上是外壳程序，这个外壳程序负责把用户原来的程序在内存中解压缩，并把控制权交还给解开后的真正程序，这一切工作都是在内存中运行的，整个过程对用户是透明的。

壳和病毒在某些方面比较类似，都需要比原程序代码更早的获得控制权。壳修改了原程序的执行文件的组织结构，从而能够比原程序的代码提前获得控制权，并且不会影响原程序的正常运行。

这里简单说说一般壳的装载过程。（参考了Ljtt以前写过的一篇文章）

1）获取壳自己所需要使用的API地址

如果用PE编辑工具查看加壳后的文件，会发现未加壳的文件和加壳后的文件的输入表不一样，加壳后的输入表一般所引入的DLL和API函数很少，甚至只有Kernel32.dll以及GetProcAddress这个API函数。

壳实际上还需要其他的API函数来完成它的工作，为了隐藏这些API，它一般只在壳的代码中用显式链接方式动态加载这些API函数:3个脱壳相关的重要函数介绍

2）解密原程序的各个区块(Section)的数据

壳出于保护原程序代码和数据的目的，一般都会加密原程序文件的各个区块。在程序执行时外壳将会对这些区块数据解密，以让程序能正常运行。壳一般按区块加密的，那么在解密时也按区块解密，并且把解密的区块数据按照区块的定义放在合适的内存位置。

如果加壳时用到了压缩技术，那么在解密之前还有一道工序，当然是解压缩。这也是一些壳的特色之一，比如说原来的程序文件未加壳时1～2M大小，加壳后反而只有几百K。

3）重定位

文件执行时将被映像到指定内存地址中，这个初始内存地址称为基地址（ImageBase）。当然这只是程序文件中声明的，程序运行时能够保证系统一定满足其要求吗？

对于EXE的程序文件来说，Windows系统会尽量满足。例如某EXE文件的基地址为0x400000，而运行时Windows 系统提供给程序的基地址也同样是0x400000。在这种情况下就不需要进行地址“重定位”了。由于不需要对EXE 文件进行“重定位”，所以加壳软件把原程序文件中用于保存重定位信息的区块干脆也删除了，这样使得加壳后