原創(chuàng)作者： 青空

本文涉及知識點靶場練習——利用ESP定律進行脫殼： 理解ESP原理的操作機理并掌握使用ESP原理進行脫殼的流程。

實驗:利用ESP定律進行脫殼(合天網(wǎng)安實驗室)?www.hetianlab.com

0x00 前言

疫情期間閑著也是閑著，在逆向某軟件時深入了解了下ESP定律，然后就想寫個文章記錄并分享下。

ESP定律又稱堆棧平衡定律，是應(yīng)用頻率最高的脫殼方法之一 ,不論是新手還是老手都經(jīng)常用到。據(jù)我所知，ESP定律是一位外國大牛發(fā)現(xiàn)的，但目前已無從考證（未找到相關(guān)資料）。

0x01 前置知識

棧

棧（stack）是內(nèi)存中分配的一段空間。 向一個棧插入新元素又稱作入（push）放到棧頂元素的上面，使之成為新的棧頂元素； 從一個棧刪除元素又稱作出棧（pop），它把棧頂元素刪除掉，使其相鄰的元素成為新的棧頂元素。

call

相當于高級語言中的函數(shù)調(diào)用。 當執(zhí)行call指令時，進行兩步操作： 將下一條的指令的地址壓入棧中，再跳轉(zhuǎn)到該地址處。 相當于：

push ip jmp near ptr 地址

ret && retf

與call指令相對應(yīng)，將當前的ESP寄存器中指向的地址出棧，然后跳轉(zhuǎn)到這個地址。 相當于：pop ip #ret pop IP pop CS #retf

0x02 操作示例

這是我寫的一個帶殼的32位小程序，用來當做esp定律應(yīng)用的一個示例。這是一個比較機械的方法，但可以對esp定律有一個感性的認識。

首先用Exeinfo Pe查殼，發(fā)現(xiàn)是nspack殼。

接下來用od載入程序，單步步入后，如箭頭所示發(fā)現(xiàn)ESP寄存器變紅。

此時單擊右鍵選中該寄存器進行數(shù)據(jù)窗口跟隨。然后選中數(shù)據(jù)窗口任意字符下硬件斷點（byte，word，dword均可）。

f9運行后，f8連續(xù)單步步過找到OEP（ 程序的入口點 ）。選中該地址單擊右鍵選中用OllyDump脫殼調(diào)試進程，然后進行脫殼（如果發(fā)現(xiàn)程序不能打開，可以試試勾選重建輸入表）。

接著用Exeinfo Pe查殼，殼已經(jīng)被去掉了。

0x03 原理詳解

首先，殼實質(zhì)上是一個子程序，它在程序運行時首先取得控制權(quán)并對程序進行壓縮。 同時隱藏程序真正的OEP。大多數(shù)病毒就是基于此原理，從而防止被殺毒軟件掃描。

殼的類型：

? 解壓->運行 ? 解壓->運行->解壓.->運行 ? 解壓 decoder|encoded code->decode ->exc ? Run the virtual machine

而脫殼的目的就是找到真正的OEP（入口點）。

而我們所講到的ESP定律的本質(zhì)是堆棧平衡，具體如下：

讓我們看下加了殼的這個小程序的入口的各個寄存器的情況

EAX 00000000 ECX 004E820D offset r1.<ModuleEntryPoint> EDX 004E820D offset r1.<ModuleEntryPoint> EBX 0036C000 ESP 0072FF74 EBP 0072FF80 ESI 004E820D offset r1.<ModuleEntryPoint> EDI 004E820D offset r1.<ModuleEntryPoint> EIP 004E820D r1.<ModuleEntryPoint>

然后是到OEP時各寄存器的情況

EAX 0072FFCC ECX 004E820D offset r1.<ModuleEntryPoint> EDX 004E820D offset r1.<ModuleEntryPoint> EBX 0036A000 ESP 0072FF74 EBP 0072FF80 ESI 004E820D offset r1.<ModuleEntryPoint> EDI 004E820D offset r1.<ModuleEntryPoint> EIP 00401500 r1.00401500

我們發(fā)現(xiàn)只有EIP和EAX寄存器的數(shù)值發(fā)生了變化，而EAX保存的是OEP的地址，這是什么原因呢？

由于在程序自解密或者自解壓過程中, 多數(shù)殼會先將當前寄存器狀態(tài)壓棧, 如使用pushad, 而在解壓結(jié)束后, 會將之前的寄存器值出棧, 如使用popad. 因此在寄存器出棧時, 往往程序代碼被恢復, 此時硬件斷點觸發(fā)（這就是我們要下硬件斷點的原因），然后在程序當前位置, 只需要一些單步操作, 就會到達正確的OEP位置.

0x04 適用范圍

我自己總結(jié)了一個比較小白的方法，那就是載入程序后只有esp寄存器內(nèi)容發(fā)生變化，那么這個程序多半可以用ESP定律（如有錯誤多謝指正）。

幾乎全部的壓縮殼， 一些早期的加密殼 （這是在網(wǎng)上收集到的資料總結(jié)的，經(jīng)過我自己的實踐，基本準確）。

0x05 總結(jié)

以上就是我對ESP定律的理解，如有錯誤，請輕噴 ^-^ ，我也還只一只剛邁入二進制世界的菜鳥，希望我這篇文章對剛?cè)腴T的小白有所幫助>_<

最后再加一句找OEP不是最難的，最難的還是修復。如果對OEP的識別有所疑惑可以問我也可以在網(wǎng)上收集相關(guān)資料，還是比較多的。

聲明：筆者初衷用于分享與普及網(wǎng)絡(luò)知識，若讀者因此作出任何危害網(wǎng)絡(luò)安全行為后果自負，與合天智匯及原作者無關(guān)！

總結(jié)

以上是生活随笔為你收集整理的esp定律手动nspack 3.7_ESP定律原理详解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。