4.6 x64dbg 内存扫描与查壳实现

最新推荐文章于 2024-05-26 09:54:57 发布
最新推荐文章于 2024-05-26 09:54:57 发布
阅读量231 收藏 2
点赞数 1
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78834737/article/details/131753958
版权
本文介绍了如何使用x64dbg的LyScript插件进行内存扫描,详细讲解了静态和动态查壳原理,包括提取二进制特征、分析代码段、动态跟踪等。通过示例代码,展示了如何实现查壳功能,帮助读者理解查壳软件如PEID的工作机制。
摘要由CSDN通过智能技术生成

LyScript 插件中默认提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚不同函数之间的差异,本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用,并实现一种内存查壳脚本,可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。

计算机中的壳定义

加壳通常指对可执行文件或者动态链接库等二进制文件进行加密或压缩等处理,以使得这些文件难以被反汇编或破解。通常情况下,加壳会增加二进制文件的大小,并在程序运行时增加一定的开销。加壳技术通常被用于保护软件的知识产权和防止软件被盗版。通过加壳,软件开发者可以使得软件更难被破解和复制,从而保护自己的商业利益。

计算机中查壳的原理

软件查壳的实现原理可以分为静态分析和动态分析两种方式。静态分析是指在不运行被加壳程序的情况下,通过对程序的二进制代码进行解析,识别出程序是否被加壳,以及加壳的种类和方法。动态分析是指通过运行被加壳程序,并观察程序运行时的行为,识别程序是否被加壳,以及加壳的种类和方法。

静态分析的实现原理通常包括以下几个步骤:

  • 提取被分析程序的二进制代码;
  • 识别程序的文件格式,并解析文件头等元数据信息;
  • 根据文件格式,从程序代码中提取节区、导入表、导出表等重要信息;
  • 分析程序的代码段,并检查代码中是否存在加壳相关的特征,如代码的执行流程、加密算法等;
  • 根据分析结果,判断程序是否被加壳,以及加壳的种类和方法。

静态分析的优点是分析速度快,不需要运行程序,可以有效地识别出程序中的加壳。但是它也有一些缺点,例如无法识别动态加载的加壳、易受代码混淆和反调试等技术的影响。

动态分析的实现原理通常包括以下几个步骤:

  • 启动被分析程序,并在程序运行期间捕捉程序的行为;
  • 跟踪程序的执行流程,并分析程序的内存、寄存器、堆栈等状态信息;
  • 检查程序的内存中是否存在加壳相关的特征,如解密函数、加壳程序等;
  • 根据分析结果,判断程序是否被加壳,以及加壳的种类和方法。

动态分析的优点是可以识别动态加载的加壳,并且可以有效地避免代码混淆和反调试等技术的影响。但是它也有一些缺点,例如需要运行被分析程序,因此可能会影响程序的性能和稳定性,并且可能会被加壳程序的反调试技术所绕过。

本例中将采用scan_memory_all()函数对特定内存进行动态扫描,该函数用来扫描当前进程内EIP所指向位置处整个内

最低0.47元/天 解锁文章
野生的大熊
关注
Linux内存管理(十):memblock初始化
私房菜
07-05 950
源码基于:Linux5.4 在Linux kernel 初始化完成之后,系统中的内存分配和回收是由 buddy 系统、slab分配器来管理,但是在kernel 初始化阶段时内存的分配和释放是由memblock 分配器管理,记录物理内存的使用情况,本文主要介绍在系统启动阶段memblock 的初始化过程。 early boot memory 即系统上点到内核内存管理模型创建之前这段时间的内存管理,严格来说它是系统启动过程中的一个中间阶段的内存管理,当sparse 内存模型数据初始化完成之后,将会从boot m
4.3 x64dbg 搜索内存利用指令
CSDN
07-07 1万+
发现漏洞的第一步则是需要寻找到可利用的反汇编指令片段,在某些时候远程缓冲区溢出需要通过类似于jmp esp等特定的反汇编指令实现跳转功能,并以此来执行布置好的ShellCode恶意代码片段,LyScript插件则可以很好的完成对当前进程内存中特定函数的检索工作。在远程缓冲区溢出攻击中,攻击者也可以利用汇编指令jmp esp来实现对攻击代码的执行。该指令允许攻击者跳转到堆栈中的任意位置,并从那里执行恶意代码。
x64dbg 搜索多条指令 ( find sequence of commands )
hambaga的博客
04-30 3713
和 OD 不同,x64dbg没有提供 find sequence of commands 功能,要想搜索多条指令,可以用特征码匹配来代替。 比如,搜索两条指令 可以右键选择搜索–当前区域–匹配特征,把两条指令的字节码填入搜索即可。 ...
ClawSearch:X64dbg的超级增强器,记忆扫描的新纪元
最新发布
gitblog_00081的博客
05-26 445
ClawSearch:X64dbg的超级增强器,记忆扫描的新纪元 ClawSearchA memory scanner plugin for x64dbg, inspired by Cheat Engine.项目地址:https://gitcode.com/gh_mirrors/cl/ClawSearch 项目介绍 在游戏修改与逆向工程的世界里,有一款名为ClawSearch的神器正悄然升起。它...
熟悉x64dbg调试器
2301_78834737的博客
07-08 2356
x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。x64dbg和Ollydbg虽都是Windows在学习使用该工具之前第一步则是要安装软件,x64dbg调试器的安装很容易,读者只需要前往x64dbg
ClickHouse 笔记1 | 简介、特点 | 基于CentOS7系统的安装与使用 | 常用数据类型 | MergeTree 表引擎 | SQL操作
希望每天都能进步一点点
07-26 593
ClickHouse 是 俄罗斯的 Yandex 公司于2016年开源的 列式存储数据库(DBMS),使用 C++语言 编写,主要用于在线分析处理查询(OLAP),能够使用 SQL 查询实时生成分析数据报告。本篇文章记录了 ClickHouse 的基本概念、特点、数据类型、常见引擎,基本上是参考官方文档和视频资料的,通过这种方式了解了ClickHouse数据库的强大功能。下次将先对其应用进行熟悉,以单机环境为主,先熟悉单机情况下对数据库的操作。...
tools.txt
huhuoyun的专栏
02-15 933
-----------------update 2017.08.20---------------- add-tools: apt-get install eclipse-cdt-autotools apt-get install convmv fuse-convmvfs unar apt-get install blender-dbg blender-ogrexml-1.8 apt-get install libgtkmm-3.0-dbg systemtap-sdt-de.
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
逆向学习X64DBG
weixin_43910988的博客
04-28 2071
然后点击确定,我们可以看到有四个地址。这里边其中有一个就是我们要找的,所以我们可以选择都试一试,然后总可以试出来哪个地址是真实保存的名称。使用X64dbg可以快速搜索游戏人名,所以本次逆向使用该工具进行工作。现在我们想改成:源氏物语。,然后我们使用右键->二进制->编辑。我们可以看到 源氏物语 在内存里边已经改好了。输入中文,然后改成源氏物语。附加后,选择shadowFlare。目的:更改玩家名称(中文名称)右键, 点击 "查找特征码"然后搜索 “平家物语”原来的名字:平家物语。使用方法:双击一个地址。
如何使用 x64dbg 的跟踪功能加速样本分析
2401_82380630的博客
01-26 1089
最近在分析 PLAY 勒索家族的样本,在加密文件之前,样本首先检查文件的扩展名是否在一个列表里,从而决定之后的加密行为。其中有一个列表的长度接近 200,也就是说要进行接近 200 次循环。因此如果想要获得这个扩展名列表的全部内容,单步调试的方式就显得十分不明智。所以我想到了调试器的跟踪记录功能,但是之前只是知道这个概念,具体应该如何操作并不清楚。在此记录此次使用的方法,方便后续学习。
使用x64dbg手动脱UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 1823
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
如何用x64dbg UPX手动脱壳(64位)
Pisces50002的博客
12-23 1429
先点“IAT Autosearch”,再点“Get Imports”,在“Imports”中删除掉带有红色叉叉的,再点击“Dump”,之后“Fix Dump”选中之前的Dump文件,修复成功。XP后的系统都有ASLR(地址空间随机化),导致dump后程序运行出错,因此我们首先用CFF Explorer修改该文件的Nt Header,禁用ASLR。如果想把字符串展开看,可以(退到IDA View-A中)修改Segment,取消w勾选。F9运行到断点处,看到下面的jmp大跳应该是入口,设置断点,F9跳过去。
加密与解密 调试篇 动态调试技术 (四)-x64dbg/MDebug
m0_64180167的博客
06-12 3597
x64dbg是开源的调试器 支持 32位和64位。
X64dbg脚本实现自动DUMP运行中解密出的PE文件
摔不死的笨鸟的博客
12-19 1356
X64DBG脚本
PE文件代码段特征码扫描 以及进程代码段扫描
xiaobai_2511的博客
03-16 3399
好久没写博客了  今天好累  休息一下 想起来写个博客  (未加壳文件) 最近在做PE文件的特征码扫描   刚开始的时候一头雾水  因为对PE文件的格式不是很了解   之前虽然看过一些PE文件的帖子 但是都是看不下去  现在针对这几天的努力 贴上我对PE文件特征码扫描的一些见解  方法和代码 1、PE文件特征码扫描   a). 读文件  判断是否是PE格式的文件 读文件,文件的开始
Cisco Packet Tracer 7.3.0去除登录验证
AngelSnow的博客
10-15 1万+
Cisco Packet Tracer 7.3.0去除登录验证 由于账号每次都要登录,所以感觉很气,这次登录了,下次还是要重新登录。就看看网上有前车之鉴,所以就自己动手把登录去除。 版本:Version: 7.3.0.0838 看见登录信息这里有 所以用x64dbg打开 搜索的时间挺长的,所以就先想着还有啥其他的,可以动态基址打补丁的方法。 所以看见标题搜索一下字符串 netacad.com 双击跳转过去看看。 安空格键space后,将jne改成je。然后Ctrl+P 保存修改替换后就行了。
2021-06-22
queshizhiniaoku1的博客
06-22 639
X64dbg破解Cisco Packet Tracer 7 (原文参考自:https://www.cnblogs.com/lsgxeva/p/13966384.html 作者:lsgxeva) 前言 这是我在CSDN上发表的第一篇文章,有不足之处请各位大神斧正。 1.步骤 1.下载并安装x64dbg。(这个在网上都有) 2.打开x64dbg,进入如下界面。 3.点击【打开】按钮,如下图所示。 4.选择Cisco Packet Tracer。(这里可以是Cisco Packet Tracer的快捷键也可以
x64dbg调试DLL程序指南
"使用x64dbg调试dll程序" 在IT领域,调试是软件开发过程中的重要环节,尤其在处理复杂的动态链接库(DLL)时,使用调试工具如x64dbg能够帮助开发者深入理解程序执行流程,定位和修复问题。这篇资源详细介绍了如何使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值