脱壳的艺术--7. 工具

 

脱壳的艺术

Mark Vincent Yason

概述：脱壳是门艺术——脱壳既是一种心理挑战，同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧，逆向分析人员有时不得不了解操作系统的一些底层知识，聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者，也牵涉到那些决心躲过这些保护的脱壳者。

本文主要目的是介绍壳常用的反逆向技术，同时也探讨了可以用来躲过或禁用这些保护的技术及公开可用的工具。这些信息将使研究人员特别是恶意代码分析人员在分析加壳的恶意代码时能识别出这些技术，当这些反逆向技术阻碍其成功分析时能决定下一步的动作。第二个目的，这里介绍的信息也会被那些计划在软件中添加一些保护措施用来减缓逆向分析人员分析其受保护代码的速度的研究人员用到。当然没有什么能使一个熟练的、消息灵通的、坚定的逆向分析人员止步的。

 

7. 工具                                                                       

本节列举了逆向分析人员和恶意代码分析人员可以用来分析、脱壳的公开可用的工具。

免责声明：这些都是第三方工具，笔者对这些工具可能导致的系统不稳定和可能影响系统的其他问题不负任何责任。建议总是在测试或恶意代码分析环境中运行这些工具。

7.1 OllyDbg

http://www.ollydbg.de/

逆向分析人员和恶意代码分析人员使用的一款强大Ring3调试器。它的插件功能允许其他的逆向分析人员创建更多的插件，使得逆向和脱壳变得越来越简单。

7.2 Ollyscript

http://www.openrce.org/downloads/details/106/OllyScript

一个OllyDbg的插件，允许通过使用类似于汇编语言的脚本实现自动设置/处理断点、补丁代码/数据等。在执行重复性的工作或者是自动脱壳是尤其有用。

7.3 Olly Advanced

http://www.openrce.org/downloads/details/241/Olly_Advanced

针对逆向分析人员如果说壳有盔甲的话，那么这个OllyDbg的插件就是逆向分析人员调试器的盔甲。它有很多选项用来躲过反调试技术，隐藏OllyDbg使其不被壳检测到。

7.4 OllyDump

http://www.openrce.org/downloads/details/108/OllyDump

成功脱壳后，这个OllyDbg插件可以用来dump进程并且重建输入表。

7.5 ImpRec

http://www.woodmann.com/crackz/Unpackers/Imprec16.zip

最后，这是另一款dump进程和重建输入表的工具。它是一款独立的工具，它提供了最出色的输入表重建能力。