dbg手动脱壳&攻防世界【crackme】

原创 于 2025-03-20 21:24:56 发布 · 649 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向 #手动脱壳 #攻防世界crackme #dbg

手动脱壳

壳的类型分为压缩壳和加密壳

攻防世界crackme

将程序拖进x32dbg

进入断点

F9来到程序的入口点

可以看到pushfd pushad

也就是保存入口参数

F8执行

此时我们在ESP这个位置下一个断点

右键ESP

选择在转储中跟随

然后在下面下断点

硬件访问断点,双字,因为是32位

然后f9

当我们执行f9执行程序到断电位置的时候,就会来到popfd这个位置

继续执行

这里是一个大跳转,因为它没有指向

然后f7执行跟进

继续跟进

又来到push ebp,就是我们oep入口

点击插件

然后点击转储   保存

拖进ida

Shift+f12    点进去

Ctrl+x查看引用,找到main函数,f5反编译

逻辑是v4与byte_402130进行异或,然后与数组dword_402150进行比较

所以dword_402150是我们加密后的数据

v2 % 16说明key的长度是16

V4是我们输入的字符串

双击byte_402130看看

点击跳入新的十六进制窗口

可以看到this_is_not_flag刚好十六位

我们输入一个长度位42的字符串,然后让key叠加,然后与输入的字符串异或得到加密后的数据,也就是dword_402150

将它转化为数组

大小设置为42位

Shift+e导出来

flag=""

a="this_is_not_flag"

b=[0x12,4,8,0x14,0x24,0x5c,0x4a,0x3d,0x56,0x0a,0x10,0x67,0,0x41,0,1,0x46,0x5a,0x44,0x42,0x6e,0x0c,0x44,0x72,0x0c,0x0d,0x40,0x3e,0x4b,0x5f,2,1,0x4c,0x5e,0x5b,0x17,0x6e,0x0c,0x16,0x68,0x5b,0x12,0x48,0x0e]

for i in range(42):

    flag+=chr(ord(a[i%16])^b[i])

print(flag)

flag{59b8ed8f-af22-11e7-bb4a-3cf862d1ee75}

攻防世界--->crackme
shdbehdvd的博客
09-19 653
32手动脱壳,详细教程:X32dbg ---->crackme
攻防世界:Crackme
Lynnette177的博客
09-06 426
由于在程序自解密或者自解压过程中, 多数壳会先将当前寄存器状态压栈, 如使用pushad, 而在解压结束后, 会将之前的寄存器值出栈, 如使用popad. 因此在寄存器出栈时, 往往程序代码被恢复, 此时硬件断点触发(这就是我们要下硬件断点的原因),然后在程序当前位置, 只需要一些单步操作, 就会到达正确的OEP位置”用Scylla,OEP的数值就设置这里,然后IAT Autosearch,再get imports,dump,pe rebuild,fix dump,就可以dump出来文件,没壳。
攻防世界逆向高手题之crackme
沐一 · 林 的博客
09-12 2109
攻防世界逆向高手题之crackme 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的crackme 下载附件,照例扔入exeinfope中查看信息。nsPack壳,上网查了查说是北斗压缩壳(nsPack),下面还提示用Quick unpack工具去壳: . . 然后在上网中一搜就搜到手动脱nspack壳的办法,是ESP定律,又搜了好多资料,现在结合别人的内容大致梳理一下我理解的ESP脱壳定律: 狭义ESP定律 ESP定律的原理就是“堆栈平衡”原理。 让我们来到程序的入口处看看吧! 1.这个是加
crackme---攻防世界
weixin_30700977的博客
07-23 301
首先下载附件之后,查壳 虽然什么也没有发现,但是看一下区段就知道,这个是北斗的壳。所以我们首先载入od开始把壳脱掉 这里面也可以看到pushfd和pushad是北斗壳的特征 这里面我使用是esp定律脱壳,当然也可以使用f8单步,或者镜像法,这里要说一下北斗的壳可以直接下断点at Getversion直接找到OEP 接下来开始脱壳 F9运行到这里,删除硬件断点,之后就可...
攻防世界 进阶 crackeme
weixin_43798872的博客
11-11 680
逆向
逆向-攻防世界-crackme
weixin_30872867的博客
04-28 476
查壳,nSpack壳,直接用软件脱壳,IDA载入程序。 很明显,就是将402130的数据和输入的数据进行异或,判断是否等于402150处的数据。dwrd占4字节。 这道题主要记录一下刚学到的,直接在IDA使用python脚本。 from ida_bytes import get_bytess = ''data = get_bytes(0x402130, 0x402140-0x...
x64dbg使用技巧及upx手动脱壳
liulala987的博客
09-04 8599
专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的原始代码才开始被执行。壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,
如何用x64dbg UPX手动脱壳(64位)
Pisces50002的博客
12-23 3598
先点“IAT Autosearch”,再点“Get Imports”,在“Imports”中删除掉带有红色叉叉的,再点击“Dump”,之后“Fix Dump”选中之前的Dump文件,修复成功。XP后的系统都有ASLR(地址空间随机化),导致dump后程序运行出错,因此我们首先用CFF Explorer修改该文件的Nt Header,禁用ASLR。如果想把字符串展开看,可以(退到IDA View-A中)修改Segment,取消w勾选。F9运行到断点处,看到下面的jmp大跳应该是入口,设置断点,F9跳过去。
x64dbg脱壳
CHUNJIUJUN的博客
10-24 5065
第一次比赛上体验手脱,记录一下,64位程序,x64dbg载入 断点里找入口,跟进去,423DC0是入口 F9让程序执行到这里 再F8,发现只有RSP寄存器的发生变化,符合ESP脱壳定律 在RSP这里右键,选择在内存窗口中转到 在内存窗口右键选择4字节的硬件断点 断点下好以后F9运行,跳到423FD5处,断在了几个pop之后 往下边看看,发现有一个大跳,在423FE5处下断点,F9运行过去然后F7 这里有一个点我比较疑惑,网...
使用x64dbg手动脱UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 2538
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
过Enigma Protector 2.xx 注册保护
12-10
【文章标题】: 绕过 Enigma Protector 2.xx 注册保护 【文章作者】: CodeGame 【作者邮箱】: CodeGame@Yeah.Net 【作者主页】: http://blog.csdn.net/codegame 【作者QQ号】: 441673604 【软件名称】: windows 计算器 【软件大小】: 669kb 【下载地址】: windows xp 系统自带 【加壳方式】: The Enigma Protector 2.20 正版 【保护方式】: The Enigma Protector 2.20 正版 【编写语言】: VC 【使用工具】: OllyDBG 【操作平台】: Windows XP sp3 【软件介绍】: 1+1=2 【作者声明】: 文笔菜的很请谅解,只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】 参考了 http://unpack.cn/thread-59541-1-2.html 定位方式,迅速定位到了 Enigma 注册授权位置: 010F2CBF E8 CC76F3FF call calc_em.0102A390 010F2CC4 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] 010F2CC7 E8 FC78F3FF call calc_em.0102A5C8 010F2CCC 50 push eax 010F2CCD E8 DE90FFFF call calc_em.010EBDB0 ; Check Registration Key Info 010F2CD2 85C0 test eax,eax ; Eax =1 Success! 010F2CD4 0F95C0 setne al 这里010EBDB0 这个CALL负责检测注册码是否正确,正确返回1 否则返回0,由于 Enigma有多线程内联补丁保护因此不能 直接硬写此处代码,所以我们采用了硬件断点HOOK来实现。 1:定位PatchAddress: 先看此块内存信息: 地址=01026000 大小=002F4000 (3096576.) 属主=calc_em 01000000 区段= 类型=Imag 01001002 访问=R 初始访问=RWE 这块内存实际是Enigma的内置DLL授权模块,此块DLL是被加密压缩过,因此也无法直接patch,通过对比加不同的程序 发现这块区域解压后的代码都不变: $+CCCBF > E8 CC76F3FF call calc_em.0102A390 $+CCCC4 > 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] $+CCCC7 > E8 FC78F3FF call calc_em.0102A5C8 $+CCCCC > 50 push eax $+CCCCD > E8 DE90FFFF call calc_em.010EBDB0 ; Check Registration Key Info $+CCCD2 > 85C0 test eax,eax ; Eax =1 Success! $+CCCD4 > 0F95C0 setne al 因此PatchAddress = BaseAddress+PatchOffsetAddress,通过上面分析得到 Enigma Protector 2.20 的 PatchOffsetAddress = 0xCCCD2 ,不同版本的PatchOffsetAddress 有可能不一样,BaseAddress 的获取就更简单了, 直接搜索区段判断VirtualSize为0x002F4000的VirtualAddress+GetModuleHandle(0)即为BaseAddress,整理公式: PatchAddress = GetModuleHandle(0)+VirtualAddress+0xCCCD2 定完毕。 2.硬件Hook: 这里我们采用AddVectoredExceptionHandler向量化异常API来实现,具体细节请自己google,重点讲下Hook触发后的过程 由于我们Patch点为$+CCCD2 > 85C0 test eax,eax ,因此只需要模拟操作EFlags然后跳过此段指令即可: pException^.ContextRecord^.EFlags := $202; //TEST eax,eax pException^.ContextRecord^.Eax := 1; //TEST eax,eax PException^.ContextRecord^.Eip := PException^.ContextRecord^.Eip + 2; //Nex 3.整体封装: 这里我们采用是把硬件HOOK和处理的过程都封装成DLL 然后导出一个GoPatch的函数供目标程序调用,那么如何使目标程序 加载并执行我们的GoPatch函数呢,我想办法很多注入,远线程等等。。这里我采用了劫持EIP的方式使目标程序加载我们的 DLL并执行GoPatch函数。 到这里已经全部完成,执行GoPatch后任意输入或者不输入用户名、注册码都可以直接绕过Enigma 的注册保护直接执行。
逆向攻防世界CTF系列37-crackme
LH1013886337的博客
11-16 1620
当然不是,那只是ESP定律的一个体现,我们运用的是ESP定律的原理,而不应该是他的具体数值,不能说12FFA4,或者12FFC0就是ESP定律,他们只是ESP定律的一个应用罢了!**其实将这么多我做一个方法小总结:**就是对第一次push时的esp地址做硬件断点,因为堆栈平衡,最后esp还会还原到这个地址,我们接下来的jmp就是ope了。堆栈平衡可以简单的理解为在一个函数的ret之前,中间入栈和出栈的次数要相等(也就是一定要保证在 RETN 这条指令之前,ESP指向的是我们压入栈中的地址)
攻防世界 Reverse高手进阶区 3分题 crackme
闵行小鱼塘
06-08 1980
继续ctf的旅程,攻防世界Reverse高手进阶区的3分题,本篇是crackme的writeup
用x32/x64dbg脱DLL壳(IAT表修复和重定位表修复)
qq_41866334的博客
05-06 7118
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
【黑客免杀攻防】读书笔记16 - 脱壳技术
weixin_30929295的博客
07-15 323
1、寻找OEP 想要比较快速精准地寻找OEP,要熟悉不同语言、不同编译器的OEP特征。 1.1、利用内存断点 通过在.text段设断点的方式来找出是哪段代码正在操作此区段中的数据。一般情况下壳的Stub部分与宿主程序的代码段往往不在一个区段中,因此当我们在Stub部分所在的区段中发现了指向宿主程序代码段的跨段跳转时,就代表我们已经找到OEP处了。 实践脱壳:A1Pack Base壳 De...
x32dbg/x64dbg修改后如何保存到exe
热门推荐
未名编程
08-06 1万+
右键------->补丁------->修补文件就可以保存了,选择调试文件( Patch File) 注: 1、快捷键为ctrl+P 2、保存时输入.exe,比如test.exe
2022CTF培训(一)脱壳技术&Hook入门
sky123博客
11-16 2202
绝大多数加壳程序会在被加密的程序中加上一个或多个段(Section),在最后跳转至 OEP 时一般都是通过一个跨段跳转指令进行转移,所以依据跨段的转移指令(JMP 等)就可找到真正的入口点,并且在该跳转指令前一般会有 POPAD / POPFD 指令出现(恢复入口现场)。在 x32dbg 中 Ctrl+B 搜索E9找到长跳转指令在该位置下断点后执行即可进入程序真正的入口点,此时程序已完成脱壳。使用 Scylla 将程序 dump 下来。
脱壳基础篇——常用六操作
摔不死的笨鸟的博客
12-09 1275
本文适合入门级别脱壳选手学习,可以作为方法总结笔记。目录如下: 1.DUMP方法 2.ESP定律的本质 3.二次内存镜像方法 4.搜索命令法 5.模拟跟踪法之SFX 1.DUMP方法 在OD中提供两种方式进行脱壳,点击重建输入表。对于一些简单的壳来说,一般都会直接成功。 5.模拟跟踪法之SFX法 该方法缺点是速度有点慢,但是比较省事儿。是使用块方式跟踪,还是字节方式跟踪,要视情况而定。 这里...
ctf逆向中的工具脱壳手动脱壳
2301_80313926的博客
01-26 3867
逆向脱壳小结
x64dbg手动脱壳的插件下载
最新发布
05-19
### x64dbg 手动脱壳插件下载与使用指南 x64dbg是一款功能强大的开源调试工具,广泛应用于逆向工程和手动脱壳场景。为了提升工作效率,x64dbg支持丰富的插件生态系统,这些插件可以显著简化复杂的手动脱壳过程。 #### 插件推荐与获取途径 1. **Scylla 插件** Scylla 是一款专注于 IAT(导入地址表)重建的插件,能够帮助用户在手动脱壳过程中修复被破坏的导入表。它是 x64dbg 生态中最受欢迎的插件之一[^1]。 - 下载地址:访问官方 GitHub 页面或其他可信资源站点即可免费获取最新版本。 ```plaintext https://github.com/NtQuery/Scylla/releases ``` 2. **Unpacker Plugins** 针对不同类型的加壳程序(如 UPX),社区开发了许多专用的解包脚本或插件。例如,针对 UPX 的手动脱壳教程通常会提到如何定位 OEP(原始入口点)、Dump 文件以及后续修复工作流[^4]。 - 获取方式:通过搜索引擎查找目标壳对应的解决方案文档或者直接参考 CSDN、Bilibili 上的相关教学视频资料。 3. **LyScript32 Python 控制接口** 对于希望实现更高程度自动化的研究人员而言,基于 Python 编写的 LyScript32 库提供了一种便捷的方法来远程操控 x64dbg 实例[^3]。借助该库的功能,开发者可以轻松构建自定义逻辑以适应特定项目需求。 ```python from LyScript32 import MyDebug if __name__ == "__main__": # 初始化调试对象 dbg = MyDebug() try: # 尝试建立连接 if not dbg.connect(): raise Exception("Failed to establish connection with debugger!") print("[*] Successfully connected.") # 测试链接有效性 is_connected = dbg.is_connect() print(f"[+] Is still connected? {is_connected}") finally: # 断开现有会话 dbg.close() ``` #### 安装步骤概述 - 确保已经正确安装好基础版 x64dbg 软件; - 解压所选插件至指定目录,默认路径为 `%APPDATA%\x64dbg\Plugins` 或者启动时提示的位置; - 启动应用后确认新增组件是否正常加载成功。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值