简单学习脱壳

最新推荐文章于 2024-08-09 13:09:32 发布
最新推荐文章于 2024-08-09 13:09:32 发布
阅读量385 收藏 9
点赞数 8
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79822944/article/details/136518531
版权

遵循esp大法,可以在一开始入栈时在栈打断点,直接F9往下跑,遇到断住时一般就差不多到脱完壳了,upx往往会有一个循环,往下再跳转就离oep很近了。这时可以采取单步走或者查找字符串直接锁定main函数。

记录一次upx的手脱及修复

BUF的新年快乐

首先托进xdbg,这种脱壳还是xdbg比较舒服点。

这个断点它似乎会忽略,我们可以手动转到那里打一个硬件断点。

这里直接在下一条地址打,然后重新启动。成功在40E2F1断住。

打个硬件断点

再F9走,断住后走下面那个jmp

这个就是oep,然后dump

之后是修复

option这样设置好像

这两个都点一下

然后Fix Dump

搞定。

双击正常启动。

完成。

嗒了啦
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
攻防世界happyctf做法(xdbg分析)
2303_80796023的博客
05-18 599
其中指令cmp代表比较的意思,jmp代表跳转的意思,call代表引用函数的意思,lea的意思是将右边值的复制给左边,可以近似看作是mov的用法吧,push就是出栈,add eax,1等同于eax=eax+1,je代表相等跳转,差不多就这些吧,那了解了这些,这边就不难看懂了,这里面大概就一些比较,赋值等等,这里面有一个关键点,push eax后(压栈),获得了单个数据,然后call(引用)一个函数,发现每次循环都是这样,那我们进入这个函数看看,同样也是在ida中复制地址,在xdbg中跳转,
BUUCTF 新年快乐(xdbg手动脱壳)
weixin_46287316的博客
11-14 2946
(博客仅个人理解,如有错误欢迎指正) -------壳的概述: 壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。 BUUCTF新年快乐: 1.下载附件将exe文件拖入查壳软件进行分析,发现加了upx壳: 在不脱壳的情况下拖入ida进行分析的结果如图:函数明
Windbg断点命令
alex_bn的专栏
09-11 1849
Windbg断点命令 1. 设置断点命令bu bp bm ba 1) bu bp bm设置软件断点 a). bp设置地址关联的断点 b). bu设置符号关联的断点 c). bm支持设置含通配符的断点,可以一次创建一个或多个bu或bp (bm /d)断点 bp和bu
逆向工具常用操作
qq_42021840的博客
01-17 1129
IDA 加载文件 Windows 下,用IDA加载文件之后,会在文件同目录下生成几个文件: .id0 二叉树数据库 .id1 文件包含描述每个程序字节的标志 .nam 包含IDA Name 窗口的数据库 .til 本地数据库有关信息 常用快捷键 快捷键 操作 空格 切换视图 ESC 退回上一页 G 搜索地址或者符号 N 重命名 H 16进制转换 Y 修改函数原型、变量类型 :; 注释...
如何使用xdebug断点调试代码??
Jenny的博客
02-26 2337
注:如果你还没有安装xdebug,请参考上一篇文章phpstudy2018 安装xdebug扩展 当然如果你还没有安装phpstorm,请自行安装! 下面进入正题,首先第一步打开设置  file->Settings   或快捷键ctrl+alt+s 第二步:选择PHP版本 debug的配置 与服务的配置 第三步:点击该项 设置断点,开启断点监听 随...
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2598
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
利用IDA学习一个简单的安卓脱壳
giantbranch的专栏
09-12 4960
这是看别人的文章学习的,当然还有加点自己的思考,截图用自己的,这样的学习才有效果啊 原理篇 dvmDexFileOpenPartial这是函数是关键,据说在这下 断点就可以了,看名字就是虚拟机去打开Dexfile的意思,应该那时已经解壳完成了吧 函数原型: int dvmDexFileOpenPartial(const void* addr, int len,
upx脱壳
m0_62280492的博客
07-09 1343
介绍CTF比赛中常见的upx壳类型
在 x64dbg 中设置条件断点和条件记录断点
CuiXY's Blog
07-16 9159
地址:https://bbs.pediy.com/thread-251385.htm
Zero123++ 论文学习
calvinpaean的博客
08-07 1065
随着新视图生成模型的涌现,3D 内容生成领域取得了显著进展,这些模型利用了强大的 2D 扩散生成先验知识,这些 2D 扩散模型是在互联网上的大规模数据集训练得到的。如果没有全局条件,针对可见区域生成的内容还是不错的,但是对于不可见区域,则生成质量就急剧下降了,因为模型缺乏推理物体的全局语义的能力。Reference Attention 指的就是,在对模型的输入去噪时,对一个额外的参考图像使用去噪 UNet 模型,并将参考图像中得到的自注意力 key 矩阵和 value 矩阵附加到去噪模型的相应的注意力层。
日常学习--20240806
xxm13679073037的博客
08-07 783
调优
【OpenCV C++20 学习笔记】给图片加边框-copyMakeBorder
TeamLee的博客
08-06 528
简单介绍在OpenCV中如何用copyMakeBorder的方法给图片添加边框
HTML5新增元素属性学习
weixin_68441705的博客
08-06 260
placeholder:提示性语句,在文本输入框 上提示用户输入内容,当用户填充内容消失,删除内容又出现(用于提示用户输入用户名,密码,适合短的提示语句)2.datalist 表单新元素 配合input使用,有下拉菜单也可以输入内容(通常用于搜素引擎)autofocus:自动聚焦,进入注册界面,光标自动聚焦在输入框上,用于提升用户体验。min和max :最大值 最小值 可以配合其他属性使用,用于数值型。required:必填项,用户如果不填,表单无法提交。autocomplete:自动填充,通常用于登录。
【GCC】结合GPT4 延迟梯度学习2:延迟梯度的计算及阈值更新
突围
08-06 88
拥塞控制
Element学习(对话框组件、表单组件)(3)
m0_74363339的博客
08-08 130
一旦通过v-model绑定一个数据模型时,这个数据模型必须声明出来,就要去data(){}中写。8、最后测试提交表单数据,查看提交的表单数据——>再提交到服务端就可以了。7、提交按钮时会触发一个方法——>onSubmit(),这时就要去声明。9、 如何采集到form表单中每一个表单项的数据内容——>只需要通过""来进行数据绑定,将各个表单项的数据绑定到一个对象当中就可以了。如何将js对象——>变成"json格式"的字符串?为了能够显示出提交的对象中的每一个属性?2、这里选择学习——>5、这里选择学习——>
MongoDB学习笔记(三)
2303_76234920的博客
08-08 176
使用Python操作MongoDB:使用管理员用户:
JUC并发编程与源码分析学习笔记(三)
最新发布
xizheng2018的博客
08-09 102
ThreadLocal 该类提供线程局部变量1、ThreadLocal简介①、大厂面试题②、是什么?③、能干嘛?④、方法摘要。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值