一般,压缩壳在执行加壳代码的开始和结束位置,分别会有 pushad 和 popad 来保存所有的寄存器环境,利用这一点,可以定位到程序真正入口代码的位置。
打开程序后,程序的入口点就是汇编指令 pushad,下面的都是加壳代码。
执行 pushad 指令后,寄存器全部都入栈,此时栈顶以下的位置都存储了寄存器的环境。当加壳结束时,程序一定会恢复环境。所以,在右侧寄存器位置点击数据窗口跟随,再在栈顶位置下 硬件访问断点。
按下 F9 键,可以看到断下的代码处恰好有汇编代码popad。再往下走就是主程序的代码了。
此时,如果如果使用 dump 功能,就可以将 dump 出脱壳的程序了。
该程序是 32 位程序,需要在 32 位系统下 dump。由于加壳程序都会将 导入表 抹去,所以 dump 时需要选中恢复导入表
后记:esp定理不一定只应用于开头只有 pushad 指令的程序,即使开头是 push eax,由于加壳结束后,一定会平到原来的栈,所以也会断到入口处。
如何对抗
只要将原来栈顶的数据复制到栈顶的以上部分,加壳结束后,以新的栈顶为起点,那么下的硬件断点就断不下来了。