压缩壳学习 - 技术栈

壳是什么

壳就是软件的一个保护套，防止软件被进行反编译或被轻易地修改。

其作用就是为了保护软件。

常见的大类壳有压缩壳、加密壳、VM 壳的分类。

压缩壳顾名思义就是用来减小软件的文件大小的；加密壳，通过加密软件来保护软件；VM壳利用了虚拟机技术，可以很有效的保护指定地址代码，但很大的牺牲了效率，所以一般只在关键代码处使用。

压缩壳

压缩壳的常见类型upx、aspack、fsg、Aspack Scrambler、ExeStealth、 n Protector、V2Packer、WWPack32、XComp0.98、 BeRoEXEPacker、dePACK、ExeShield Protector、KByS、NsPacK、tElock、 Nspack PECompect Petite winUpack

本文重点讲一下upx壳

UPX压缩壳

原理

其采用高效的压缩算法，对可执行文件的代码段、数据段等进行压缩处理。它通过优化文件结构，减少冗余数据，实现文件体积的大幅缩减。在对软件进行压缩的时候也对文件进行了修改。

在压缩过程中，UPX 会修改文件的入口点，将控制权转移到解压代码部分。当程序运行时，首先执行的是 UPX 的解压代码，解压完成后才会跳转到原始程序的入口点，从而确保程序正常运行。

经过UPX加壳（压缩）后的文件格式：

复制代码

new eheader(64 bytes) (文件头)
+ new pheader(56 bytes) * 3 (程序头表)
+ l_info(12 bytes)
+ p_info(12 bytes)
+ b_info(12 bytes) + compressed block (原程序文件头和程序头表)
+ b_info(12 bytes) + compressed block (第一个类型为PT_LOAD的段中除原程序文件头和程序头表的部分)
+ b_info(12 bytes) + compressed block (第二个类型为PT_LOAD的段)
+ ......
+ fpad8 (8字节对齐)
+ int(4 bytes) (第一个b_info的文件偏移)
+ int(4 bytes) (当前位置的文件偏移，也就是之前所有数据总长度)
+ loader (加载器，也就是脱壳代码)
+ b_info(12 bytes) + compressed block (第一个PT_LOAD和第二个PT_LOAD中间的数据)
+ b_info(12 bytes) + compressed block (第二个PT_LOAD和第三个PT_LOAD中间的数据)
+ ......
+ b_info(12 bytes) + compressed block (最后一个PT_LOAD到文件末尾之间的数据)
+ 00 00 00 00 55 50 58 21 00 00 00 00 (b_info)
+ fpad4 (4字节对齐)
+ PackHeader(32 bytes)
+ int(4 bytes) (p_info的文件偏移)

其中，b_info、l_info和p_info是三个结构体。

详见这篇文章[原创] UPX源码学习和简单修改-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

UPX加壳后程序运行原理

流程大致为：这里就能明白为什么UPX壳下的文件用010打开会看到特别多的0了

讲述一下这个流程：首先是将原文件进行压缩，压缩后会留出一个空节（这是不可删除的，对后续的解压缩有用。）

在进行解压缩的时候或者叫启动程序的时候，会申请内存，其内部包含空字节

1.先映射头部，PE头必映射

2.映射数据，将解压缩代码和压缩数据映射进内存

3.把各种表进行处理

4.开始运行，首先运行解压缩代码，运行后跑压缩数据，就会将压缩数据还原到空节上，进行填充

5.执行完解压缩代码后，跑到节区1去执行数据