教你如何写UPX脱壳脚本

一、开篇

首先要写在前面本篇文章写的UPX脱壳脚本有可能不是所有的UPX都使用，仅供学如果，仅供学习怎样去一个简单地脚本节省劳动力，这里不多废话，俗话说的好：“工欲善其事必先利器”，那么我们今天要用的利器就是OllDbgScript脚本编写工具，有很多这类的工具，找一个就好了！下面就是对写脚本的具体分析。

这里重点说明一点：写脚本其实就是对在OD中进行分析得来的，这句话说通俗点就是比如我们载入OD后我们都会F8单步走，那么对应翻译成脚本就是STO，我们在脚本中写STO就是单步走一下！

今天我们要写的加了UPX壳的DLL，顺便将DLL的重定位地址找到；着重讲的是一个思路，这里重点思路是UPX壳是开始都是pushad和结尾是popad，这里就算是我们找到的一个特征码，记录下来我们将DLL文件载入到OD中进行查看!首先用PEID查壳看一下壳的版本！

图一

图一

将DLL文件载入到OD中。相信大家手托过UPX的都知道往下拉看看结尾处！

图二

图二

    我们通过这个跳转到OEP的上面看到popad这个指令，那么我们就可以找到一个关键点，也就是这个popad这里，那么我们就从这里下手！进行写脚本！我们可以通过OD里面的搜索功能查找popad出现的次数，Ctrl+F查找popad；发现还有一个地方有这个指令，就是下面这里：

   

图三

图三

    既然我们已经找到了这个关键点Popad了，那么我们就来开始写脚本！

       首先我要在脚本中写找到popad这个指令的语句，用Find查找来进行，类似于OD里面的Ctrl+B查找61；如果查找成功，地址会保存到保留变量$RESULT中，否则$RESULT将等于 0

1. Var cc                                                //这里声明一个变量用来保存$RESULT的值
   
2.         FIND eip, #61#                                 //类似于Ctrl+B，结果保存在$RESULT当中
   
3.         MOV cc，$RESULT                        //将查找的61的地址保存在cc中，注意这里查找的popad是100A0A29地址处的popad，注意我们在这个地方下硬件执行断点时候OD停不下来，那么我们就可以ret后面进行下断点2F-29=6，那么我们就在这个cc基础上加6
   
4.         ADD cc，6
   
5.         BPHWS cc，”x”                        //在指定地址，设置硬件断点。有三种模式： "r" - 读取, "w" - 写入 或者 "x" - 执行.
   
6.         RUN                                                //运行
   
7.         MSG   $RESULT                        //弹出地址下硬件执行断点的地址（用来做测试）
   
8.         BPHWC  cc                                //清楚硬件执行断点
   

复制代码

上面的代码就会运行到我们查找的第一个popad后面的100A0A2F处断下，代码是add edi，0x4，100A0A2F处下面再查找popad的时候就是到OEP的那个Jmp上面的Popad了！

1. FIND eip, #61#                         //类似于Ctrl+B，结果保存在$RESULT当中
   
2. BPHWS $RESULT, "x"
   
3. RUN  
   
4. MSG $RESULT   
   
5. BPHWC $RESULT
   

复制代码

     这时候代码就会段在图一所示的100A0A60处的popad，那么我们接下来要做的只需要单步两下，再对代码进行分析就到了OEP；

1. STO                                         //单步F8运行
   
2. STO                                                //单步F8运行
   
3. MSG "欢迎来到OEP，By:BattleHeart"
   
4. AN eip                                        //对程序进行分析
   
5. RET
   

复制代码

     这样初步的脚本就写完了，接下来就是我们所说的对DLL进行加壳之后比EXE多一个重定位的查找；

     这里我们说一个快速查到的UPX壳的DLL重定位地址的方法，那就是搜索下面这几条语句；

1. xchg ah，al
   
2. rol        eax，0x10
   
3. xchg ah，al
   
4. add eax，esi
   

复制代码

     这几条指令上面会有moveax,dword ptr ds:[ebx]，dword ptr ds:[ebx]存放的就是重定位的地址。

图四

图四

        那么我们就需要查找这几个指令，进行查找重定位地址：

1. VAR tezhengma1                        //用来存放重定位地址
   
2. VAR ee                                        //用来存放$RESULT的结果
   
3. FIND eip,#86c4c1c010#                //查找上面指令
   
4. MOV ee,$RESULT               
   
5. MSG $RESULT                        //这里地址是100A0A46
   
6. SUB ee,2                                        //100A0A44这个位置
   
7. BP ee                                        //断点到Mov eax，dword ptr ds:[ebx]
   
8. MOV tezhengma1,[ebx]                //既然已经断在了这个位置那么我们就可以取出这个值并弹出来
   
9. MSG tezhengma1
   
10. BC ee                                        //清楚F2断点
    

复制代码

        分析到此完毕；         整体脚本如下所示：

1. //UPX脱壳脚本之一
   
2. VAR cc
   
3. VAR tezhengma1
   
4. VAR ee
   
5. FIND eip,#86c4c1c010#
   
6. MOV ee,$RESULT
   
7. MSG $RESULT
   
8. SUB ee,2
   
9. BP ee
   
10. MOV tezhengma1,[ebx]
    
11. MSG tezhengma1
    
12. BC ee
    
13. FIND eip, #61#  
    
14. MOV cc,$RESULT
    
15. ADD cc,6
    
16. BPHWS cc, "x"
    
17. RUN
    
18. MSG   $RESULT
    
19. BPHWC  cc
    
20. FIND eip, #61#
    
21. BPHWS $RESULT, "x"
    
22. RUN  
    
23. MSG $RESULT   
    
24. BPHWC $RESULT
    
25. STO
    
26. STO
    
27. MSG "欢迎来到OEP，By:BattleHeart"
    
28. AN eip
    
29. RET
    

复制代码

       运行结果截图查看：

     这个是重定位处搜索出来的地址：

图五

图5

     这个是重定位地址：别忘了减去基址哦！

   

图六

图六

          第一个Popad地址：

图七

图七

      断在了popad处

图八

图八

          这里就是OEP了：

   

图九

图九

程序下载地：链接: http://pan.baidu.com/s/1o6HmsrC 密码: a2b6

学习了，牛C，至今不懂退课脚本怎么写

最好写个Safengine那样就比好了

厉害，太厉害了

你是第一个教写脚本的，加入精华~感谢楼主的原创作品~

我也是在这里看到第一个教写脚本的！

Shark恒 发表于 2014-10-19 01:04
你是第一个教写脚本的，加入精华~感谢楼主的原创作品~

谢谢恒大的支持

UPX不是esp定律可脱吗?

秦刚毅 发表于 2014-10-19 08:31
UPX不是esp定律可脱吗?

可以呀！没有说不可以呀！教怎么写脚本呢！

最好写个Safengine那样就比好了,或者写个脱Safengine的