x64dbg手脱壳

最新推荐文章于 2024-09-04 20:21:56 发布
最新推荐文章于 2024-09-04 20:21:56 发布
阅读量3.7k 收藏 18
点赞数 4
分类专栏: REwp 文章标签: Reverse CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHUNJIUJUN/article/details/120938000
版权
本文详细记录了一次使用x64dbg进行逆向工程的过程,通过设置断点和分析寄存器变化,找出入口点(OEP)。作者讨论了如何确定正确的OEP,强调了在ESP寄存器首次变化后进行dump的重要性,并展示了从不同OEP dump后的反汇编差异。最后,作者提醒找到准确的OEP对于成功脱壳至关重要。
摘要由CSDN通过智能技术生成

第一次比赛上体验手脱,记录一下,64位程序,x64dbg载入

 

断点里找入口,跟进去,423DC0是入口

 

F9让程序执行到这里

再F8,发现只有RSP寄存器的发生变化,符合ESP脱壳定律

 

在RSP这里右键,选择在内存窗口中转到

在内存窗口右键选择4字节的硬件断点 

 

 断点下好以后F9运行,跳到423FD5处,断在了几个pop之后

 

往下边看看,发现有一个大跳,在423FE5处下断点,F9运行过去然后F7

这里有一个点我比较疑惑,网上的ESP定律dump的OEP都是jmp到的地址,比如应该是401500,可是这里直接从423FD5 dump也是可以的,有些疑惑

 

 

这里展示一下两个分别选择两个OEP dump 后的效果

从423FD5 dump:

IDA加载进来是有些问题的,而且找不到main函数

但是可以通过string窗口搜索程序关键字然后交叉引用到主函数

 

 然后就可以很清楚的看到加密逻辑了

从401500 dump:

可以看到程序加载进来是直接到main函数的,很正常

 

总结一下,找到正确的OEP还是很重要的,不正确的OEP可能程序也能进行反汇编,但是可能会有问题

还需要注意脱壳时程序必须动调运行到ESP第一次变化以后的位置才能进行dump,否则就算OEP找到了也脱不成功

tacooo
关注
专栏目录
第51章-ASProtect v2.3.04.26脱壳-Part11
08-03
第51章-ASProtect v2.3.04.26脱壳-Part11
Themida/Winlicense 自动脱壳机 v1.0
01-15
Themida/Winlicense 自动脱壳机 v1.0自动脱Themida/Winlicense加的壳
关于脱壳的分析及方法总结
Yyx260019的博客
07-24 789
单步跟踪法的原理就是通过Ollydbg的单步(F8)、单步进入(F7)和运行到(F4)功能,完整走过程序的自脱壳过程,跳过一些循环恢复代码的片段,并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后,到达OEP,并dump程序。
著名的脱壳工具的使用教程
11-03
用于反汇编程序的脱壳软件的使用教程,适用于32位与64位的程序
ollydbg脱壳教程
07-15
里面有10多个教程,这个要多谢那些录制的大哥,我来分享给大家认识
X64dbg脱壳
liulala987的博客
08-28 1596
专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的元时代吗才开始被执行。
使用x64dbg动脱UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 1823
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
如何用x64dbg UPX脱壳(64位)
Pisces50002的博客
12-23 1427
先点“IAT Autosearch”,再点“Get Imports”,在“Imports”中删除掉带有红色叉叉的,再点击“Dump”,之后“Fix Dump”选中之前的Dump文件,修复成功。XP后的系统都有ASLR(地址空间随机化),导致dump后程序运行出错,因此我们首先用CFF Explorer修改该文件的Nt Header,禁用ASLR。如果想把字符串展开看,可以(退到IDA View-A中)修改Segment,取消w勾选。F9运行到断点处,看到下面的jmp大跳应该是入口,设置断点,F9跳过去。
用x32/x64dbg脱DLL壳(IAT表修复和重定位表修复)
qq_41866334的博客
05-06 5180
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
脱64位UPX壳
热门推荐
Breeze的博客
08-03 1万+
脱64位UPX壳 背景 近期舍友不知道为啥忽然要汉化一个GTA的外挂,第一次听说他要汉化,问了我一堆关于逆向的东西。由于外挂加了upx的壳(也是peid说的,我感觉是一个很奇怪的壳),他搞不定于是发来给我。 我平时也是逆向linux的elf文件多一些,windows的而且还是64位的几乎没搞过,平时也没脱过什么壳,也就是听说过原理而已(感觉不难),再加上我之前的电脑坏掉了返厂修了,新电脑刚到,...
x64dbg使用技巧及upx脱壳
最新发布
liulala987的博客
09-04 1856
专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的原始代码才开始被执行。壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,
x64dbg-2018-02-24_13-52-中文版+源码
03-01
反汇编调试程序,与ollydbg类似。直接运行release\x64\x64dbg.exe或者release\x32\x32dbg.exe启动程序。编译源码需要VS2013。
x64dbg20191126.zip
01-04
结合脱壳技术,X64dbg在软件调试、逆向工程以及恶意软件分析等领域都有着广泛的应用,是IT专业人员中不可或缺的工具之一。通过持续关注并使用这样的先进工具,我们可以更好地理解和控制程序的行为,推动软件安全和...
x64DBG.rar
06-26
x64dbg调试器,脱壳,打补丁,通过该软件实现可执行文件反汇编的过程,利于理解程序的运行。对于程序员来说是必备的神器
4.6 x64dbg 内存扫描与查壳实现
2301_78834737的博客
07-16 231
LyScript 插件中默认提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚不同函数之间的差异,本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用,并实现一种内存查壳脚本,可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。如上代码中的内存扫描方法如果能被读者理解,那么查壳这个功能就变得很简单了,市面上的查壳软件PEID等基本都是采用特征码定位的方式,所以我们想要实现查壳以及检测编译器特征可以采用特征码扫描法,只需要将上述代码更改一下,即可实现查壳功能。
Ollydbg/x32dbg/x64dbg贴心伴侣 Version 6.48使用详解
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
08-15 648
Ollydbg/x32dbg/x64dbg贴心伴侣 Version 6.48使用详解和开发历程: 2020.7.24号是个不幸的日子,我人生当中第一次体验到了心碎的感觉。这天晚上,我正在继续忙着整理汇编破解总结资料时,我的一块希捷硬盘(2000G)突然间硬盘分区不显示了(实际上是两个分区)里边有大量自制的软件,破解资料总结,破解流程图,大白使用视频总结与思维导图,各种网上优秀的共享...
好激动,跟着大师傅一起学脱壳
m0_62102520的博客
03-10 802
逆向
Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)
Lixinist的博客
03-28 5050
不知道rafael在干什么,3.0的壳完全是倒退。。。 3.0的TM/WL没有混淆iat call,还把API代码抽取给删了。API出现的特征代码也不见得加强了多少     修iat最难的就是 1.定位API出现的时机 2.识别并还原iat call   这里第2难点由于3.0没有混淆iat call,所以不存在。想学习的请看这篇文章及其脚本(用x64dbg单步走脚本...
使用x64dbg反混淆非托管壳
weixin_34345560的博客
08-01 345
SystemDomain::ExecuteMainMethod处下断点,是一个非常折中的方案,不会过于深入clr内部,也不会随随便便被hook住运行到这里的时候主程序集已经被这些非托管壳还原到对应位置为什么这说,请看下图 这是主线程的调用堆栈(我在主线程里运行了消息泵,所以暂停住了)可以看到底端是不知名的地址,应该是TMD之类的壳生成的再向上看,有个clr._CorExeMain和clr._...
x64dbg.chm
10-15
x64dbg.chm 是一个开发者所用的 Windows 反汇编调试工具的帮助文件。它提供了关于使用 x64dbg 工具进行反汇编调试的详细指导和说明。 该帮助文件以 CHM 格式呈现,CHM 格式是微软公司开发的一种用于存储帮助文档的文件格式。用户可以在 Windows 系统中双击打开该文件,并通过目录结构、索引和搜索功能查找和浏览所需的信息。 x64dbg 是一个功能强大的开源反汇编调试工具,其主要用途是帮助开发者进行逆向工程和调试任务。通过使用 x64dbg,开发者可以查看和修改程序的汇编代码、执行代码的跟踪、查找程序中的漏洞和错误等。 x64dbg.chm 文件中包含了关于 x64dbg 工具的各种功能、选项和命令的详细介绍,用户可以通过该帮助文件了解和掌握工具的使用方法。从安装和配置 x64dbg,到加载和调试目标程序,再到使用高级调试功能,用户可以在帮助文件中找到详尽的说明和示例。 总之,x64dbg.chm 是一份非常有用的文档,对使用 x64dbg 进行反汇编调试的开发者来说,它是必备的参考资料。无论是初学者还是经验丰富的开发者,都可以通过阅读帮助文件来了解和掌握 x64dbg 工具的使用方法,以便更加高效地进行软件调试和逆向工程任务。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值