第54章-EXECryptor v2.2.50.a脱壳-Part11

在本章中，我们主要探讨的是EXECryptor v2.2.50.a这款脱壳技术，这是一种针对软件加壳的工具，用于保护程序免受逆向工程的攻击。脱壳，即逆向分析过程中去除程序外壳的过程，以便能够查看和理解原始的未打包代码。在面对未知的加壳程序时，一种常见的方法是寻找相关的UnPackMe样本，这些样本是专门设计用来测试和学习加壳技术的程序。 当没有UnPackMe样本时，可以通过获取加壳器并使用简单的程序（如小程序）进行加壳实验，观察不同加密强度下壳的行为差异。这种方法有助于理解壳的工作原理和保护机制，为后续分析提供基础。在本案例中，作者提供了EXECryptor的一系列UnPackMe，尽管不是最新版本，但足以研究其保护机制。 我们的目标程序是UnPackMe_ExeCryptor2.2.50.a.exe，这是一个具有不同加密级别的示例，难度逐渐增加。通过运行这个程序并分析其弹出的对话框，我们可以了解到它的保护措施。与UPX壳进行对比，可以更容易地确定OEP（Original Entry Point）和IAT（Import Address Table）的位置和大小。 在动态分析过程中，使用OllyDbg（OD）加载程序，并配合OllyAdvanced反反调试插件进行调试。OllyAdvanced的Break on TLS Callback选项在这里至关重要，因为它可以在TLS回调触发时中断程序，这对于识别ExeCryptor利用TLS CALLBACK进行反调试的行为非常有用。当程序在入口点前退出时，这通常是因为TLS CALLBACK被用于检测调试环境。 通过手动或使用PE文件编辑器，可以定位到TLS TABLE的地址，从而找到TLS CALLBACK回调函数的入口。在数据窗口中，通过切换到PE解析模式，可以找到TLS Table的地址和大小，然后找到回调函数的起始地址。这一步骤对于理解在程序执行之前执行的代码至关重要，因为这些代码可能包含反调试检查或其他关键的初始化过程。 本章详细介绍了如何分析EXECryptor v2.2.50.a的脱壳过程，包括使用UnPackMe样本、动态调试技巧、以及手动和工具辅助下的TLS CALLBACK定位。这些技能对于逆向工程师来说是至关重要的，它们可以帮助识别和绕过加壳程序的保护机制，进一步理解程序的内部运作。