脱壳 !EP(EXE PACK)1.2

最新推荐文章于 2023-06-18 13:11:16 发布
最新推荐文章于 2023-06-18 13:11:16 发布
阅读量784 收藏 1
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlexSmoker/article/details/104195331
版权

0x1 查壳

将程序拖入!Exeinfo PE显示如下。
在这里插入图片描述
程序拖入OD
在这里插入图片描述
看到第一行有pushad指令,利用ESP定律,执行一步F8。ESP定律是典型的堆栈平衡,因为只要保存了所有寄存器的值都是要开始解密操作,等到解密完成后一般都会将所有初始化的寄存器值进行还原,即popad。所以我们只要在esp堆栈压入的最后一个数据那里设置硬件断点(因为堆栈式先进后出原则,esp现在指向的是压栈的最后的数据,还原时肯定会先从这块数据还原),当执行popad还原寄存器时的位置,一般这个指令位置都是解密后的数据。
所以我们右键选择数据窗口跟随
在这里插入图片描述
在esp指向的内存处设置硬件访问断点
在这里插入图片描述
让程序继续执行,发现断到popad下一条指令位置,可以清楚的看到mov edx,0x004271b0这条指令。这很明显是进入了用户进程的代码段了,按常理说就应该是个教大距离跳转,这往往就是程序从加密壳区段跳转到解密后的代码段的过程,跳转到用户进程的OEP。
在这里插入图片描述
继续向下执行,执行jmp edx指令,基本断定该处为OEP。
在这里插入图片描述
确定了OEP为0x4271b0后,接下来该进行内存Dump
在这里插入图片描述
接下来检查要Dump的内存OEP是否和目前OEP值相等,相等就点击脱壳按钮
在这里插入图片描述
Dump完成后接下来修复导入表
在这里插入图片描述
选择当前正在运行的程序
在这里插入图片描述
修改解密后的OEP
在这里插入图片描述
点击自动查询IAT表,也就是导入地址表。
在这里插入图片描述
接下来获取导入函数
在这里插入图片描述
转储导入函数表
在这里插入图片描述
在这里插入图片描述
转储之后会新生成一个脱壳文件,运行转储后的脱壳文件。脱壳成功。
在这里插入图片描述

时光菜刀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pe结构详解-脱壳教程
07-18
pe结构详解,脱壳必备教程,含PE结构图。 从某种意义上讲,可执行文件的格式是操作系统本身执行机制的反映。掌握可执行文件的数据结构及其一些运行机理,也是研究软件安全的必修课
ExeinfoPe查壳工具
10-20
ExeinfoPe查壳工具,是一款相当不错额查壳工具,具有可以帮助开发人员对程序进行编译的功能。
cherry pick操作git 将一个分支的多次提交merge到另一个分支(基于TortoiseGit客户端图文)
blacet的专栏
12-18 3054
1、加入我们有两个分支:Trunk和ep-new分支 2、我们基于trunk分支做开发,并提交多次代码到trunk分支 下面我们使用TortoiseGit客户端,使用git的cherry pick 操作将提交到trunk分支的代码自动merge代码到ep-new分支 具体过程: 1、我们先切换到ep-new分支 2.右键,show log 3、切换到trunk分支的log,选...
Windows下SVN服务端(Subversion)及客户端(TortoiseSVN)详细安装教程
kezhen的专栏
08-09 2449
版本控制SVN: 服务端:Setup-Subversion-1.6.16 客户端:TortoiseSVN-v1.6.16 基本操作: 本节向大家描述SVN1.6服务端和客户端安装配置步骤,随着SVN的快速发展,版本也进行了升级更新,本节就和大家一起学习一下SVN1.6服务端和客户端安装配置步骤,欢迎大家一起来学习。下面是具体介绍。 1、软件下载 下载SVN1.6服务器程序。 http
脱壳神器ExeInFope0.0.1.8
12-02
脱壳神器,就一个exe文件,没有其他任何垃圾信息。脱壳神器,就一个exe文件,没有其他任何垃圾信息。
脱PESpin 壳(详细步骤)
weixin_42636579的博客
03-15 3562
脱壳——PESpin 壳PESpin 壳1 寻找OEP1.1 反硬件断点1.2.1 测试11.2.2 测试2静态分析1.2 寻找 OEP 方法22 OEP 处 Dump 内存到文件3 修复 IAT4 Script4.1 查看脚本修复后的 IAT5 重建 IAT 表 程序连接见结尾 PESpin 壳 // 这个壳 1.反硬件断点 2.IAT加密 3.混淆,花指令 脱壳步骤:寻找OEP——dump到内存——修复IAT 1 寻找OEP 首先可以拖入 Exeinfo PE 查看链接器信息,没收获。。。
简单脱壳教程笔记
A powerful and unconstrained style
08-18 6562
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 2918
历史:壳是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
UPX脱壳
qq_53008544的博客
11-11 4035
upx脱壳以“buu re 新年快乐”题目为例。 首先将题目解压后拖进Exeinfope 可发现题目文件为32位,且加了upx壳,其实upx脱壳比较简单,但是我总是忘记步骤,因而记录一下。 我们再cmd打开控制台,由于题目文件和upx脱壳工具保存在D盘中,故先输入“D:”进入D盘,再输入“cd upx脱壳工具的地址”。此时已经进入了upx脱壳工具的文件夹,文件夹里有upx.exe文件,故可输入“upx -d 目标文件所在位置”。 完成脱壳后下方显示“Unpacked 1 file.”,表..
NET脱壳工具 DLL、exe文件
04-15
NET脱壳工具 DLL、exe文件,net语言万能脱壳工具,大多数混淆代码都可以脱出1 NET脱壳工具 DLL、exe文件,net语言万能脱壳工具,大多数混淆代码都可以脱出1
ExEinfo PE V0.0.2.5(09.09.19)脱壳去自校验
09-25
非常好用的PE查壳工具 原版运行时会占用100多MB的内存而且启动缓慢 脱壳以后还要修复自校验麻烦死了。 本人比较菜弄了好几个小时才搞定。卖贵点 如果有问题请通知我 谢谢。。
ExeinfoPE查壳查壳脱壳工具PE
05-22
跟PE的界面一样.是一款功能很多的查壳脱壳 小工具!!
著名的脱壳工具的使用教程
11-03
用于反汇编程序的脱壳软件的使用教程,适用于32位与64位的程序
exe文件检查工具(ExEinfo PE)0.0.3.2 中文绿色完美版
08-04
以前用过个工具对软件进行破解,因为时间关系,一直没有上传到网站上来,今天因为工作的关系,又找出这个exe文件检查工具(ExEinfo PE),找得好辛苦啊,所以马上先放到网上,方便自己又方便朋友们。   ExEinfo PE 是一款免费的Win32可执行程序检查器,它可以检查程序的打包方式,exe保护等,可以帮助开发人员对程序进行破解,我们通常又称为查壳工具。   用这个工具查看软件有没有加壳,或是用什么工具进行加壳的,方便我们使用相关的脱壳工具对软件进行脱壳。 使用方法:   1、下载解压软件后进行运行   2、将需要查壳的exe或是dll文件拖到软件里面,当然也可以使用浏览的形式,不过里好像有点小bug,一开始好慢,好像点用了什么资源。   3、有一个选项,可以让你选择快速扫描,或是其它方式,一般我们无需去设置,直接默认就可以了。 软件截图
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW...。。 下硬件断点 当然,你也可以手动 F9运行一次看看 ...004654B3 83C4 04 add esp,0x4 ...到此已经脱好了,请各位爽吧
ASProtect1.22-1.23 自动脱壳
10-19
自动脱 ASProtect1.22-1.23 壳
UPX脱壳工具.exe
01-15
可以用这个工具脱UPX加过壳的exe可执行程序....................................
siw.exe脱壳版本
11-01
siw.exe是PECompact壳,这个版本是我脱壳后的,用来研究代码的,不一定能运行
exeinfo 怎么脱壳并查看exe用什么语言写的
最新发布
07-28
脱壳是指将加壳的二进制文件还原为未加壳状态的操作。而exeinfo是一款用于查看PE文件信息的工具,可以用于查看被加壳的可执行文件的一些属性和特征。下面是脱壳并查看exe使用的一般步骤: 1. 确定目标文件:首先需要确定要脱壳的目标文件,可以是加壳的可执行文件。 2. 选择合适的脱壳工具:根据目标文件的加壳方式,选择适合的脱壳工具。市面上有很多脱壳工具可供选择,如:Unpacker、PEiD、OllyDbg等。 3. 运行脱壳工具:根据选择的脱壳工具的使用方式,将目标文件加载到脱壳工具中进行处理。 4. 进行脱壳操作:根据脱壳工具提供的功能,执行相应的脱壳操作。一般情况下,脱壳工具会自动识别出目标文件的加壳方式,并进行相应的解壳操作,将目标文件还原为未加壳状态。 5. 使用exeinfo查看文件信息:脱壳完成后,使用exeinfo工具打开目标文件,可以看到文件的基本信息,如文件大小、文件类型、文件头信息等。部分工具还可以查看更加详细的信息,如导入表、导出表、节表等。 通过查看exeinfo提供的信息,可以初步判断目标文件是用何种语言编写的。根据文件的标志和特征,可以判断出是否是使用C/C++、C#、Delphi等语言编写的。 需要注意的是,脱壳和查看文件信息都需要一定的技术和经验,对于安全研究人员和逆向工程师可能比较熟悉,但对普通用户来说可能有一定难度。同时,在进行这些操作时,请务必遵循相关法律法规,确保自己的操作在合法、积极的范围内。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值