利用ESP定律的upx脱壳实践

大家好，又见面了，我是你们的朋友全栈君。

背景：
除了命令行upx -d脱壳，还有手动脱壳。ESP定律的本质是堆栈平衡，又称堆栈平衡定律，是应用频率最高的脱壳方法之一，脱壳的目的就是找到真正的OEP（源文件的EP代码）

方法：
从pushad到popad是一段解压缩代码（解压UPX壳），这段代码执行后，紧跟在popad后的第一个JMP指令可跳转到OEP
实践：
1：查壳
2：OD打开

3：F8

//对于寄存器,指令执行后发生改变的寄存器会用红色显示,此处ESP和EIP的值发生改变，因为执行pushad指令，将8个通用寄存器（EAX-EDI）的值保存至栈，栈中的值增加了，所以ESP的值发生变化，而EIP的值表示下一个要执行指令的地址，也发生变化
（执行PUSHAD的原因是使栈平衡，这段代码的最后还有popad，两者执行后可以把ESP的值回到原值，这里不明白为什么使栈帧平衡要执行push和pop，如果没有这两步只执行movebp,esp，不是还有基准值，搞不懂push和pop的意义）

4:下硬件断点

//下硬件断点，与F2断点不同的是，硬件断点直到下断点地址处的指令执行完成后，才完成调试，也就是说，程序会不断执行直到遇到了硬件断点处的地址，把该处地址的指令执行完成后，才完成调试，此处在ESP为000DFF54处下硬件断点的原因，我的理解是，是为了到达popad处回到栈的初始状态完成解压缩代码，在popad未执行时，它前一个指令执行后ESP的值应该是000DFF54，所以运行后再次遇到ESP为000DFF54时，下一个命令是popad
（popad指令把pushad存储在栈中的值再次恢复到各个寄存器，我理解为8次pop命令）

5:F9运行

//猜测未执行popad时，ESP的值应该是000DFF54，此时还未将8个寄存器的值弹出栈。执行popad时的瞬间访问到硬件断点000DFF54，暂停调试，此时已执行了popad，回到了栈的初始状态，发现除了EIP其他寄存器值和初始寄存器的值一样

6:找到离popad最近的JMP，执行JMP跳转

//发现OEP处寄存器的值除了EAX和EIP，其他的的值和pushad的值一样
EAX中值不一样的原因是，EAX中保存函数的返回值，保存的是OEP的地址

7：脱壳

总结：
1：执行pushad，下硬件断点F9运行
2：找到popad后的第一个jmp指令F8
3：跳转到了OEP