Intel Pin
Intel Pin在可执行二进制代码中插入一些探测函数,用于观察、记录、分析宿主代码执行过程中的一些与计算机体系结构相关的特性,如访存指令,寄存器内容,寄存器地址等,通过Pin提供的API可以编写各种分析函数,这样程序运行完以后,统计和分析结果也同时产生,分析数据处理结果,获取有价值的学术成果和科研结论,可以将其应用于整个计算机体系结构的技术革新和进步。
壳的作用
加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。
但是某些病毒木马程序也利用加壳技术来躲避杀毒软件的查杀。
本篇文章使用upx3.91对linux的/bin/ls程序进行加壳,并使用Pin完成动态脱壳。
实现原理
对于上述可执行文件加壳器的步骤描述如下:
1)首先使用插桩实现对可执行文件运行过程中全部内存写入指令的跟踪,记录内存访问类型(写入或执行)和写入字节的值。稍后在脱壳过程中,当脱壳器将内存转储到磁盘时,需要合并相邻的内存字节,因此需要记录内存块的基地址、大小及访问权限。
2)使用插桩实现对间接分支指令和call调用指令的跟踪,如果跳转指令的目标地址位于一次性写入的内存区域中,那么它很可能是向OEP的跳转。通过跟踪来检查跳转指令分支的目标地址是否为先前可写的内存区域。
