脱壳的艺术 - 脱壳反汇编教程

脱壳的艺术

Mark Vincent Yason

概述 ： 脱壳是门艺术 —— 脱壳既是一种心理挑战， 同时也是逆向领域最为激动人心的智力 游

戏之一。 为了甄别或解决非常难的反逆向技巧， 逆向分析人员有时不得不了解操作系统的 一

些底层知识， 聪明和耐心也是成功脱壳的关键。 这个挑战既牵涉到壳的创建者，也牵涉到 那

些决心躲过这些保护的脱壳者。

本文主要目的是介绍壳常用的反逆向技术， 同时也探讨了可以用来躲过或禁用这些保 护

的技术及公开可用的工具。 这些信息将使研究人员特别是恶意代码分析人员在分析加壳的 恶

意代码时能识别出这些技术， 当这些反逆向技术阻碍其成功分析时能决定下一步的动作。 第

在逆向工程领域，壳是最有趣的谜题之一。在解谜的过程中，逆向分析人员会获得许 多

关于系统底层、逆向技巧等知识。

壳（这个术语在本文中既指压缩壳也包括加密壳）是用来防止程序被分析的。它们被 商

业软件合法地用于防止信息披露、篡改及盗版。可惜恶意软件也基于同样的理由在使用壳，

只不过动机不良。

由于大量恶意软件存在加壳现象，研究人员和恶意代码分析人员为了分析代码，开始 学

习脱壳的技巧。但是随着时间的推移，为防止逆向分析人员分析受保护的程序并成功脱壳，

新的反逆向技术也被不断地添加到壳中。 并且战斗还在继续， 新的反逆向技术被开发的同 时

逆向分析人员也在针锋相对地发掘技巧、研究技术并开发工具来对付它们。

向技术也是很有价值的。

本文绝不是一个完整的反逆向技术的清单，因为它只涵盖了壳中常用的、有趣的一些 技

术。建议读者参阅最后一节的链接和图书资料，以了解更多其他逆向及反逆向的技术。

笔者希望您觉得这些材料有用，并能应用其中的技术。脱壳快乐！

2

2

2

调试器检测技术

本节列出了壳用来确定进程是否被调试或者系统内是否有调试器正在运行的技术。 这些调 试

器检测技术既有非常简单（明显）的检查，也有涉及到 native APIs 和内核对象的。

2.1

2.1

PEB.BeingDe

PEB.BeingDe

:

:

IsDebuggerPresent()

IsDebuggerPresent()

下面显示了 IsDebuggerPresent() API 的实现代码。首先访问线程环境块 ( TEB )

2

得到 PEB

的地址，然后检查 PEB 偏移 0x02 位置的 BeingDebugged 标志。

mov eax, large fs: 18 h

mov eax, [eax+30 h ]

movzx eax, byte ptr [eax+2]

retn

除了直接调用 IsDebuggerPresent() ，有些壳会手工检查 PEB 中的 BeingDebugged 标志 以

防逆向分析人员在这个 API 上设置断点或打补丁。

示例

; check PEB.BeingDebugged directly

Mov eax,dword [fs:0x30] ;EAX = TEB.ProcessEnvironmentBlock

movzx eax,byte [eax+0x02] ;AL = PEB.BeingDebugged

test eax,eax

jnz .debugger_found

进行混淆。

对策

人工将 PEB.BeingDebugged 标志置 0 可轻易躲过这个检测。 在数据窗口中

表达式）输入 fs:[30] ，可以在 OllyDbg 中查看 PEB 数据。

另外 Ollyscript 命令 "dbh" 可以补丁这个标志。

dbh

最后， Olly Advanced3 插件有置 BeingDebugged 标志为 0 的选项。

2.2

2.2

2.2

Heap.HeapFlags,

Heap.HeapFlags,

Heap.HeapFlags,

Heap.ForceFlags

Heap.ForceFlags

Heap.ForceFlags

程序是否用调试器加载。通常程序没有被调试时， NtGlobalFlag 成员值为 0 ，如果进程被调

试这个成员通常值为 0x70 （代表下述标志被设置） ：

FLG_HEAP_ENABLE_TAIL_CHECK(0X10)

FLG_HEAP_V ALIDATE_PARAMETERS(0X40)

HKLM\Software\Microsoft\Windows Nt\CurrentV ersion\Image File Execution Options

Heap

Heap

Flags

Flags

由于 NtGlobalFlag 标志的设置，堆也会打开几个标志，这个变化可以在

ntdll!RtlCreateHeap() 里观测到。通常情况下为进程创建的第一个堆会将其 Flags 和

ForceFlags

通常被设为

（等于 Flags AND 0x600100 7D

）。

默认情况下当一个被调试的进程创建堆时下列附加的堆标志将被设置：

HEAP_TAIL_CHECKING_ENABLED(0X20)

HEAP_FREE_CHECKING_ENABLED(0X40)

示例

附加标志 ( PEB.ProcessHeap) ：

;Check if PEB.NtGlobalFlag != 0

Cmp dword [ebx+0x68],0

jne .debugger_found

;eax = PEB.ProcessHeap

Mov eax,[ebx+0x18]

;Check PEB.ProcessHeap.Flags

jne .debugger_found

;Check PEB.ProcessHeap.ForceFlags

Cmp dword [eax+0x10],0

可以将 PEB.NtGlobalFlag 和 PEB.HeapProcess 标志补丁为进程未被调试时的相应值。 下

//retrieve PEB via a hardcoded TEB address( first thread: 0x7ffde000)

Mov peb,[7ffde000+30]

//patch PEB.NtGlobalFlag

Lea patch_addr,[peb+68]

mov [patch_addr],0

//patch PEB.ProcessHeap.Flags/ForceFlags

Mov process_heap,[peb+18]

lea patch_addr,[process_heap+0c]

mov [patch_addr],2

lea patch_addr,[process_heap+10]

进程的 API 。这个 API 内部调用了 ntdll!NtQueryInformationProcess() ，调用时

ProcessInformationclass 参数为 ProcessDebugPort(7) 。而 NtQueryInformationProcess() 检索内

核结构 EPROCESS 5 的 DebugPort 成员。非 0 的 DebugPort 成员意味着进程正在被用户模 式

的调试器调试。如果是这样的话， ProcessInformation 将被置为 0xFFFFFFFF ，否则

ProcessInformation 将被置为 0 。

Kernel32!CheckRemoteDebuggerPresent() 接受 2 个参数，第 1 个参数是进程句柄，第 2

个参数是一个指向 boolean 变量的指针，如果进程被调试，该变量将包含 TRUE 返回值。

PVOID ProcessInformation,

ULONG ProcessInformationLength,

PULONG ReturnLength

下面的例子显示了如何调用 CheckRemoteDebuggerPresent() 和

NtQueryInformationProcess() 来检测当前进程是否被调试：

; using Kernel32!CheckRemoteDebuggerPresent()

push eax ;pbDebuggerPresent

push 0xffffffff ;hProcess

call [CheckRemoteDebuggerPresent]

; using ntdll!NtQueryInformationProcess(ProcessDebugPort)

lea eax,[.dwReturnLen]

push eax ;ReturnLength

lea eax,[.dwDebugPort]

push eax ;ProcessInformation

push ProcessDebugPort ;ProcessInformationClass(7)

call [NtQueryInformationProcess]

cmp dword [.dwDebugPort],0

对策

// set a breakpoint handler

eob bp_handler_NtQueryInformationProcess

mov bp_NtQueryInformationProcess,$RESULT

bphws bp_NtQueryInformationProcess,"X"

run

bp_handler_NtQueryInformationProcess: