程序破壳主要找到的是 程序的入口点(OEP,Original Entry Point)。软件加壳通常是为了隐藏程序的原始入口点,以增加逆向工程的难度。破壳的过程就是找到这个被隐藏的OEP,从而可以执行程序的核心代码。
使用调试器(如OD)
载入程序后,不进行代码分析,直接单步跟踪(如F8),找到程序实际执行的跳转指令。
遇到程序回跳时(包括循环),在回跳的下一句代码处设置断点(如F4),通过观察跳转是否实现(绿色线条表示未实现,红色线条表示已实现)来定位OEP。
如果程序中有大量的跳转指令(如jmp、je等),很快就能找到OEP。
利用ESP寄存器
在调试器中设置ESP的硬件访问断点,程序执行到该断点时会暂停,从而直接定位到OEP。
分析程序的预处理块
使用动态调试工具(如Ollydbg)时,程序会停在壳的预处理块,即程序原始代码块的解压或解密操作之前。此时设置断点(如int3),可以捕捉到程序代码段完全恢复的状态,从而找到OEP。
特殊调试技巧
对于某些特定类型的程序(如VB程序),可以通过观察其OEP特征(如push数据到堆栈,然后调用MSVBVM60.dll)来定位OEP。例如,在VB程序中,OEP上方通常有FF25跳转函数,可以通过设置内存断点来捕获这些跳转,从而找到OEP。
修复IAT(Input Table)
有些加壳程序会对程序的输入表(IAT)进行修改。修复IAT可以恢复程序的原始函数地址,从而帮助定位OEP。这通常涉及到在段首和段尾设置断点,并在retn处下断,以找到程序的原始入口点。
总之,找到程序的OEP是破壳的关键步骤,通过上述方法可以有效地定位到程序的入口点,从而顺利进行后续的逆向工程分析。