这是该系列文章的第一篇（至少我会写第二部分，希望能一直写下去），我会在这些文章中介绍不同的脱壳方法，以及我经常使用的脱壳工具和脚本。希望这些文章和工具能对你有帮助。

[出自:jiwo.org]

 给恶意软件脱壳的方法，很大程度上取决于其所属的恶意软件家族。有时脱壳不能用通用方法，需要很大的耐心和想象力。每个人都有自己的方法。但有时可以在恶意软件中找到共同的行为，帮助我们自动完成恶意软件的脱壳。

 可读可写可执行（rwe）内存块中的PE文件

 在我分析过的恶意软件中，大概有60%到70%的恶意软件是将其PE模块脱壳到rwe内存块。

 （用WinDbg可以切换到一个.process /i进程，用!address查看内存空间信息）。

 有时，加壳工具会把恶意软件脱壳到当前进程的内存空间；有时会将PE注入到其他进程的内存空间，或创建一个空进程，等等。但通常，它会创建rwe内存块并将PE映射进去。

 用Windbg脚本找到rwe内存块中的PE文件

 根据上述情况，我写了一些WinDbg脚本来扫描调试器上运行的进程，在rwe内存块中查找PE文件。我已经用这些脚本脱壳了大多数分析过的恶意软件，他们已经帮了我很多。希望对你也有帮助。

 dump_injected_pe_rwemem.wdbg：该脚本会扫描调试器的进程的内存，查找映射到rwe内存中的PE文件。每发现一个PE文件，页调入PE的内存（因为有时，一些内存的页不能被映射而导致dump失败）并dump到第一个参数指定的目录中： 

         $$>a<dump_injected_pe_rwemem.wdbg

 Dump文件以此形式命名：

         __.pedmp（包含PE的进程，PE的基地址及长度）。

 dump_injected_pe_rwemem_fast.wdbg：该脚本和上一个脚本很像，但它不会在dump之前页调入PE的内存。大多数时候，它会完美的dump到PE而且速度很快。总之，我经常在调试器中配置disable swapping（禁止交换），因为这样就可以确保所有的页在内存中。该脚本像上一个脚本一样运行，得到的名字格式也一样：

         $$>a

 find_injected_pe_rwemem.wdbg：该脚本像上面的脚本一样查找PE文件，但只通知找到的PE，不会dump到磁盘。不需要参数：

         $$>a

 dump_process_symbols_to_file.wdbg：这个脚本很简单，但很有用。它会将指定进程的所有参数（例如API地址等所有WinDbg加载的参数）记录到一个文件中。文件中记录地址和参数：

         $$>a<dump_process_symbols_to_file.wdbg

 其每行是一个地址和一个参数，像这样：

 如果我们dump一个PE并用IDE等反汇编程序分析，变量中通常会包含这些地址（比如，恶意软件用GetProcAddress调用接口并将指针指向一个变量或输入等）。

 set_symbols_for_addresses.py：这个IDA脚本扫描被dump的PE内存，寻找一些包含特殊地址的变量，这些地址与dump_process_symbols_to_file.wdbg脚本中包含的参数相匹配（例如一个变量有一个指针指向kernel32，CreateFileA就会重命名为kernel32_CreateFileA）。这对分析dump的PE文件很有帮助。

 例子

 为了更好的理解怎样使用这些脚本，我制作了以下的小视频，里面有我使用这些脚本实现恶意软件脱壳和分析的三个例子：