ESP技巧：教你如何解包可執行文件

新聞 04-22

惡意軟體開發者會使用各種方法繞過反病毒產品，他們可以對字元串進行混淆處理，或者使用其他軟體的證書來對惡意軟體進行簽名。其中最常用的一種方法就是利用封裝器來對惡意軟體進行壓縮，並讓反病毒軟體無法檢測到它們，這也就是俗稱的「加殼」。因此，作為一名惡意軟體分析人員來說，我們應該了解加殼機制，並清楚如何解包可執行文件。

加殼與解包

加殼軟體可以幫助你對可執行文件進行壓縮，就跟zip文件差不多。一般來說，當你在使用zip文件時，需要手動進行解壓縮。但是對於加殼來說，它會在可執行文件的代碼中添加一部分不會被壓縮的「運行時封裝器」代碼。當你運行這個可執行文件時，這部分未被封裝的代碼將會對可執行文件中其他已被封裝的惡意代碼進行解包並運行。

識別加殼

如何識別這種加殼的惡意軟體呢？其中一種方法就是檢查其中的字元串信息，但是加殼後的可執行文件中並沒有大量字元串可以查看。你也可以對代碼中import的類和庫進行分析，但加了殼的可執行文件並不會顯示這部分內容，這樣可以增加逆向分析的難度。因此，為了對加殼的惡意軟體成功進行逆向分析，我們需要對其一直調試直到發現了未壓縮的代碼為止，然後對導出的可執行文件代碼進行分析。

這裡可以使用「ESP技巧」，也就是ESP寄存器。我們可以利用這種技術在ESP寄存器中設置硬體斷點，當我們轉移到改斷點時，也就是到達了程序的入口點（OEP）。接下來，我們就可以將剩下的可執行文件導出，並得到解包後的可執行文件代碼了。

解包奪旗遊戲

我們專門開發了一個小程序來演示如何手動解包可執行文件，你可以點擊【這裡】獲取。其實這就是一個奪旗小遊戲，當你找到了正確的密碼之後，你需要輸入並嘗試拿到Flag。你可以在Radare2中通過比對字元串數據來尋找到密碼，或者你也可以直接使用「strings」命令來搜索，但如果程序加了殼的話，又該怎麼辦呢？因此，我們這裡使用了免費的UPX封裝器來對代碼進行封裝加殼，它的解包過程也比較簡單，所以它是一款非常適合學習的工具。祝大家好運！

過程分析

當我們使用rabin2運行封裝的可執行程序並查看import信息時，我們可以看到這裡幾乎沒有什麼信息，而且字元串也看不出什麼字面意思：

很明顯，這是一個經過封裝的程序。我們可以PEiD工具來查看它所使用的封裝器信息：

你可以看到，這裡使用的是UPX封裝器。當然了，這種封裝器拆封起來非常簡單，你也可以直接下載UPX拆封程序來進行解包。但我們這裡要演示的是如何手動實現這個過程，所以接下來我們在x64dbg中啟動程序，然後按下F9，直到我們到達應用程序的入口點位置。X64dbg會直接用「EntryPoint」對入口點進行標記，這裡我們使用了pushal指令對入口點設置識別符。