ESP技巧：手动解包UPX加壳可执行文件详解

加壳与解包基础概念

加壳是一种常见的软件保护技术，恶意软件开发者也常用此技术绕过反病毒检测：

• 加壳原理：类似于zip压缩，但会在可执行文件中添加"运行时封装器"代码
• 运行机制：执行时，未压缩的封装器代码先运行，负责解压并执行原始代码
• 分析难点：加壳后字符串和导入表信息被隐藏，增加逆向分析难度

识别加壳程序

识别加壳程序的几种方法：

1. 字符串分析：加壳程序通常缺少可读字符串

2. 导入表检查：使用工具查看导入函数，加壳程序显示极少或异常

   $ rabin2 -i UPX_Proj_Packed.exe
   

   输出显示极少的导入函数，这是典型加壳特征

3. PEiD工具检测：可识别具体加壳类型（如UPX）

手动解包UPX程序步骤详解

1. 准备工作

• 工具准备：

  • x64dbg调试器
  • Scylla插件（用于IAT修复）
  • PE分析工具（如rabin2）

• 目标程序：UPX_Proj_Packed.exe

2. 定位程序入口点

1. 在x64dbg中加载目标程序
2. 按F9运行程序直到到达EntryPoint（入口点）
3. 注意pushal指令，这是UPX加壳程序的典型特征

3. 设置ESP硬件断点

1. 按F8或F7单步执行几步
2. 右键点击ESP寄存器，选择"Follow in Dump"
3. 在数据转储窗口选择前4个字节
4. 设置硬件访问断点（DWord类型）

4. 运行到解包代码

1. 按F9继续执行，程序将在断点处暂停
2. 观察popal指令，确认执行路径正确
3. 注意跳转指令（如jmp 0x0040c483），这是解包完成的标志

5. 到达原始入口点(OEP)

1. 跟随jmp指令跳转
2. 到达原始程序的真正入口点
3. 按Ctrl+A重新分析代码，确保汇编正确

6. 导出解包程序

1. 打开Scylla插件（Ctrl+I或通过菜单）
2. 点击"IAT Autosearch"自动查找导入地址表
3. 点击"Get Imports"获取导入函数信息
4. 点击"Dump"导出解包后的程序

7. 修复导入表(IAT)

1. 在Scylla中点击"Fix Dump"
2. 选择之前导出的程序
3. 修复后的文件名会添加"SCY"后缀
4. 修复后的程序可正常运行

验证解包结果

使用rabin2检查解包后的程序：

$ rabin2 -i unpacked.exe

应能看到完整的导入表信息

测试程序功能：

• 输入密码"this_is_password"应能显示成功信息

关键技巧总结

1. ESP技巧：利用ESP寄存器设置硬件断点是定位解包代码的关键
2. OEP识别：通过跳转指令找到原始入口点
3. IAT修复：解包后必须修复导入表才能使程序正常运行
4. 工具配合：x64dbg+Scylla组合是手动解包的强力工具链

资源获取

示例加壳程序：UPX_Proj_Packed.exe

通过以上步骤，您可以完整掌握手动解包UPX加壳程序的技术，这对于恶意软件分析和软件逆向工程都是非常重要的基础技能。