手动脱UPX 壳实战

最新推荐文章于 2024-03-29 19:53:17 发布
最新推荐文章于 2024-03-29 19:53:17 发布
阅读量5.6k 收藏 6
点赞数
分类专栏: 软件脱壳练习 软件脱壳练习 文章标签: 脱壳 UPX 壳 脱UPX 壳 吾爱破解 手动脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1084283172/article/details/46814025
版权

作者:Fly2015

Windows平台的加壳软件还是比较多的,因此有很多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳,首先第一步就是 查壳,然后才是 脱壳。

推荐比较好的查壳软件:

PE Detective Exeinfo PEDIE工具。

 

需要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52pojie.cn/thread-378612-1-1.html第一课的作业题1.

 

1.对该程序(吾爱破解培训第一课作业一.exe)进行查壳

PE Detective的查壳结果:


Exeinfo PE的查壳结果:


DIE的查壳的结果:

DIE查壳有一个好处就是能从查壳的结果中得知被加壳的程序是用什么语言编写的,这个比较有用。


2.进行UPX脱壳实战

该程序载入OD以后发现有pushad指令,很显然该程序需采用ESP定律进行脱壳。


F8单步走一步,然后右键选择ESP寄存器下HW break硬件断点。


F9运行程序,该程序会在硬件断点的地方自动断下来,如图:


JMP指令的位置F2下断点,然后F9运行到该断点00457765处,地址0041DDAC处就是被加壳程序原来的OEP处。一般被加壳的程序在解壳以后都会有一个跳转,可能是JMP也可能是其他的指令。F7跟进到地址0041DDAC处,如图:


是不是很眼熟啊,VS2008等编译的程序的入口点汇编指令。下一步就可以使用OD的插件OllyDump或者(Load PE+RECImport)工具进行程序的脱壳和IAT表的修复:


被加壳程序的真实的OEPRVA地址为1DDAC,这里IAT表的重建选择方式1,根据实际情况选择IAT表的修复方式。


Ok。用查壳程序,对脱壳程序进行查壳,结果如下:



运行一下刚才被脱壳的程序,证明脱壳成功!



UPX脱壳分析文档和完美脱壳后的程序下载地址;http://download.csdn.net/detail/qq1084283172/8883081



Fly20141201
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
18款脱壳软件(对付TMD,UPX的软件都有)
08-11
18款脱壳软件(对付TMD,UPX的软件都有) 有了这套软件,对付加的exe,dll就基本不成问题了!
UPX手动脱壳
m0_46296905的博客
04-23 1758
脱壳入门,不喜勿喷,欢迎指正。 参考《加密与解密(第四版)》 0x01 &脱壳 首先了解一下什么是实质上是一个子程序,它在程序运行时首先取得控制权并对程序进行压缩。同时隐藏程序真正的OEP。 而脱壳的过程总体分为三个步骤: 查找真正的程序入口点 抓取内存镜像文件 重建PE文件 关于的类型有以下几种: 解压->运行 解压->运行->解压.->运行 解压 decoder|encoded code->decode ->exc Run th.
upx脱壳教程(简单易学,附安装包)
最新发布
2303_80796023的博客
03-29 738
很简单的upx脱壳教程
ELF64手UPX实战
turbocc 因程序而激情
05-21 1834
最近在做CTF逆向习题时,遇到一个带有UPX的ELF CrackMe,题目的目标是找到flag。 由于此前只对PE做过UPX脱壳,本来使用UPX脱壳工具,用命令就能脱壳,但是出于研究的目的,看看ELF文件的UPX如何手动脱壳,话不多说,进入正题~ 0x1 工具和环境 IDA Ubuntu18.04 0x2 寻找OEP 首先在Ubuntu上运行程序,观察程序的运行情况 Ubuntu上打开终端使用命令查看当前IP 将IDA文件夹内的linux_server64拷贝到Ubuntu系统中,给与运行权
对于UPX脱壳的解决
qq_54894802的博客
01-01 3022
因此根据这个原理,我们可以在堆栈处,设置访问断点,让程序运行,当程序暂停的时候,就是程序即将执行完的时候,然后在其附近单步跟踪就可以找到原始OEP了。通过这两到题,我们大致可以发现,upx脱壳,就是去寻找可疑点,jmp,或者ret,因为是一个程序,因此我们脱壳就是要其运行完成的结果,所以我们在脱壳过程中总是要跳到ret,也就是这个原因。对于一般的程序的时候,我主要用的是ida脱壳,一般ida实在不了了再想到用od来,od,,所以我记录的大多都是用的ida的。然后运行,寻找可疑点。
通过手动upx简单了解逆向
A_991128a的博客
08-27 1806
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于upx的。
安卓逆向学习笔记(9)- 使用IDA Pro进行简单的脱壳
热门推荐
蜗牛
05-30 2万+
使用dex2jar反编译Apk中的classes.dex就能获取到Apk的java层源代码。那么有什么办法可以保护classes.dex,防止Apk的源代码被偷窥呢?那就是加了,关于Apk加的技术原理,请看这篇博客Android APK加技术方案【1】  小弟所了解的Apk脱壳方法有两种: (1)使用脱壳神器ZjDroid进行脱壳,详细操作请看这两篇博客:Android动态逆向分析工具Z
逆向分析工具——IDA初学笔记
m0_63606191的博客
01-22 3080
是 是
android so文件脱壳,安卓逆向idadex so内存脱壳教程
weixin_30994671的博客
05-27 1278
idc脚本:static main(void){auto fp, dexAddress, end, size;dexAddress = 0xA644C008;size = 0x0086CAB0;end = dexAddress + size;fp = fopen("D:\\classes.dex", "wb");for ( ; dexAddress < end; dexAddress++ )...
IDA 调试 Android 方法及简单的脱壳实现
DeathMemory的专栏
05-24 1万+
本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文中如有不对的地方还请留言指正。 前置环境 JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机 动态启动调试 Android Killer 编译 x.apk
UPX变形&去校验
06-10
UPX-Scrambler RC1.x -> ㎡nT畂L+去校验 这是一款UPX的变形,但是,还是那么弱。。。 目标程序:一后门木马服务端,Hiddukel VII.exe
UPX加解工具,UPX,UPX
08-13
UPX工具,可以针对指定资源进行UPX和加和解,压缩比例非常大,适合软件加
UPXv1.9源代码
02-28
UPXv1.9源代码
UPX原码~供大家参考
05-31
UPX原码~和大家一块研究,支持.exe.Dll.ocx.atx都多种格式文件
UPX全部源代码
09-20
下了就要顶。。。。。 ...进度条的显示方法其实可以用傻瓜的方式来显示,这里给个提示,我懒得做了: ...运行UPX之后隐藏窗口,然后用API找到窗口,读出进度条字符的数量(位置),根据具体数目来实现显示进度条。
upx的一次探讨
m0_75098930的博客
03-27 206
三,(可能会随着环境的不同而不同)程序的dll和exe两部分,姑且让我这么说,有非常明显的特征,exe是让人赏心悦目的401000左右,dll地址非常大,但是用途不大,其中有一个回调,但不是tls,在这个回调之后单步进入才能找到真正代码段,因为helloworld非常短,接下来就是简单的找push ebp过程了。有师傅问我如何手动脱壳,虽然手过几个exe,但我以前一直没有仔细研究过手动脱壳,一直以来都是简单的找push ebp mov ebp,esp。今天做几个简单的讨论。本人小白,请各位师傅斧正。
IDALinux下upx
u014715599的博客
01-04 1958
背景 近日,在应急分析木马时发现加了upx,直接用linux下upx -d 脱壳不成功,在网上查找时发现没有针对IDA远程linux下upx的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加样本链接以便于自己尝试。 环境要求 1.IDA 7.0 2.ubuntu 32 PS:小白文,只讲怎么快速脱壳,原理部分自查。 一、脱壳前题 1.认识upx      入口特...
使用IDA调试SO脱壳,环境准备及各步骤原理详解
weixin_34099526的博客
11-01 293
引言 最近在捣鼓移动端的脱壳,虽然目前这方面的教程有挺多的了,但还是走了很多弯路,现在希望把这些内容记录下来帮助有需要的人 环境准备 手机环境 首先请准备一台手机,这台手机需满足以下三个条件: ——必须是真机 ——手机系统版本为安卓4.4及之前的系统 ——手机已经root 首先解释为什么要是真机,因为模拟器经常会遇见各种各样的问题(亲测)导致有些步骤进行...
jedec die shear 下载
10-09
Jedec Die Shear测试是一种常用的半导体芯片可靠性测试方法,主要用于评估芯片的结构稳定性和焊接强度。该测试通过测量在应力加载下芯片结构的破坏情况来评估其可靠性。 在Jedec Die Shear测试中,芯片通常被切割成较小的部分,然后将其固定在基座上。应用负荷在芯片上,通常是垂直于芯片平面方向的力。通过对加载过程中芯片上的应力分布和变形情况的观察与测量,可以评估芯片的结构稳定性以及焊接点的强度。 这种测试方法对芯片的可靠性有着重要意义。芯片在实际应用中,如移动设备、汽车电子等,会受到各种振动、冲击等外力的作用,因此需要具备足够的结构稳定性和焊接强度才能确保长期可靠性。Jedec Die Shear测试可以帮助制造商在出货前对芯片的质量进行评估,确保芯片能够满足设计要求并具备良好的可靠性。 需要注意的是,Jedec Die Shear测试只是一种测试方法,不能直接确定芯片的性能和可靠性,但它可以作为评估芯片质量的一项指标。除了Jedec Die Shear测试,还有其他一些可靠性测试方法,如温度循环测试、热冲击测试等,它们可以综合评估芯片的可靠性情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值