压缩壳脱壳方法

最新推荐文章于 2024-08-08 07:40:59 发布
最新推荐文章于 2024-08-08 07:40:59 发布
阅读量3.3k 收藏 1
点赞数

前言

练习了一些简单的压缩壳的脱壳, 总结一下压缩壳脱壳操作.

记录

查壳工具

Detect-It-Easy-master 比 PEID0.95好, 虽然有些壳也认不出来.
即使查壳工具认不出来, OD载入后, 也能看出OEP不是正常的入口. 有转到后面进行解压的过程.
使用查壳工具是为了确实是否有壳, 没有其他用途. 不用也是可以的, 反正都是手工脱壳.

anti-debug

StrongOD插件可以不用的, 先从插件目录移除.

有的壳代码中有anti-debug代码, 可以去看雪上找HideOd插件(hideod.rar), 加入OD插件目录, 启动OD后, 点击hideOD设置, 将反anti的选项都勾上.

ESP定律

F7, F8都可以走到OEP, 用的时间多一些.
大部分压缩壳, 用ESP定律可以找到OEP.

在OD中走不多远, 可以看到ebp入栈.
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
当程序跑起来后, 停下来时, 就到了OEP附近, 走不多远, 就跳到了OEP.
经常逆vc的程序, 走到OEP时, 就认识了.
这里写图片描述
然后dump.

手工F7, F8找OEP

有的压缩壳, 无法用ESP定律
* 没有push有趣的ebp, 也没有pushad
* 也没有转到其他的跨段节去解压, 都是在一个节内(e.g. 0040xxxx)解压和跳转.
这时, 手工F8, F7去跟吧, 当有长跳转时(JMP或CALL), 注意一下, 看是否为正常的OEP代码.

DUMP插件

脱壳要在x86环境下脱壳(因为脱的是x86程序).
看雪上有ODdump插件, OllyDump.rar
走到OEP后, 用OdDump插件脱壳, 脱2个版本(重建导入表和不重建导入表), 看哪个能运行就用那个版本, 如果都能用, 就选不重建导入表的版本.
这里写图片描述

PE减肥

大部分场景对程序的size要求的都不严格, 脱壳后, 能正常运行就可以.

当脱壳完成后, 可以尝试给PE减肥, 不一定会成功(减肥后运行PE报错).
减肥是可选的, 减肥工具用PETools.
这里写图片描述
这里写图片描述
这里写图片描述
将壳自己用的节删掉, PE体积就小了, 看看是否能运行. 不能运行就不要减肥了.

PE重建

PE重建也是为了减肥, 也是可选的.
用PETools来进行PE重建, 在看雪大礼包2010中有.
这里写图片描述
PE重建后, 也有可能运行报错. 如果报错, 就不用重建了.

脱壳后的PE头参数校对

当程序到达OEP时, 先脱壳, 然后留在那, 等PE减肥和PE重建时, 打开OD中的MemoryView, 找到.text中的PE头信息, 和PETools的可选头信息对一下, 如果PETools的可选头信息不对, 按照OD显示的PE头信息修正一下.

LostSpeed
关注
有关脱壳方法
weixin_43916678的博客
07-15 960
的概念 最早出现是一种专用加密软件技术,用于保护程序不被静态分析。 某些病毒木马程序也利用加技术来躲避杀毒软件的查杀。 是一段专门保护软件不被非法修改或反汇编的程序。它们一般都是先于程序运行,拿到控制权。 加的全称应该是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 常见的主要分两类 压缩压缩的特点是减少软...
脱壳解密工具.rar
11-22
2011脱壳解密工具2011脱壳解密工具2011脱壳解密工具
压缩脱壳
weixin_41487541的博客
06-27 580
ESP定律可以找到大部分压缩的OEP,但是对于FSG失效。目前常见的FSG手脱方法大多是单步向下,单步一定能找到OEP但是会消耗时间并且可能出现跟飞的情况。可以通过OD中的SFX(自解压)设置选项来快速找到OEP。...
Detect It Easy 安装与使用指南
最新发布
gitblog_00638的博客
08-08 927
Detect It Easy 安装与使用指南 Detect-It-EasyProgram for determining types of files for Windows, Linux and MacOS.项目地址:https://gitcode.com/gh_mirrors/de/Detect-It-Easy Detect It Easy(DIE)是一个跨平台的应用程序,用于识别不同类型的...
手动脱UPX压缩
bangren3304的博客
09-25 308
示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx压缩之后查: 脱upx od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指...
脱壳之aspack压缩
Nattevak
12-29 1940
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序,发现pushad指令,判断程序已加。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
手动脱UPX
webcenterol
02-06 195
手动脱UPX write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移...
UPX压缩加密脱壳
06-06
UPX压缩加密脱壳机,界面简洁清晰好用。
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
05-27
UPX是一个着名的压缩,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀。upx是一种保护程序。 ........................ UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩...
常见几种脱壳方法.pdf
09-03
在这篇文章中,我们将讨论常见的脱壳方法,包括压缩和加密两种类型的脱壳是指从程序中删除保护的过程。 一、概论 的出现是程序作者想对程序资源进行压缩和注册保护的目的,因此可以把分为压缩和...
脱壳压缩-FSG
m0_60551756的博客
08-08 209
前言 因为FSG是压缩,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
脱壳教程1.rar脱壳教程1.rar脱壳教程1.rar
12-14
脱壳教程1.rar脱壳教程1.rar脱壳教程1.rar
逆向破解万能脱壳工具.rar
03-31
逆向破解万能脱壳工具,常见都能自动脱
strongOD隐藏OD OllyDBG的插件
10-01
比HideOD更厉害的隐藏OD的工具 详细介绍:[2008.12.25 v0.2.1.235] 1,修复一个利用PAGE_GUARD的anti 2,修复Skip Some Expection选上的时候无法对内存段下F2断点 3,由于PAGE_GUARD的特殊性,无法完美处理od用PAGE_GUARD下断点的BUG,建议尽量不要对内存段下F2断点 4,加强进程保护功能,防止ring3下复制句柄打开od进程 5,修复驱动多处小bug 6,更新版本号 [2008.11.06 v0.20] 1,超长异常处理链导致OD打开太慢的BUG [2008.11.03 v0.19] 1,增加一个快捷键,cpudump 窗口 alt+左键双击 2,修复隐藏OD窗口后输入法有可能无法使用的BUG 3,修复了一个潜在的蓝屏BUG [2008.09.15 v0.18] 1,修复了Ctrl+G计算rva,offset时的一个小BUG 2,当程序不是运行的状态时,Detach前会先运行程序 3,修复原版OD的数据区复制BUG 4,修复od运行后CPU占用率很高的BUG 5,可以设置是否跳过一些异常处理
ollyice和hideod.dll可以对有些进行隐藏复件 神龙英雄合击.exe
10-01
ollyice和hideod.dll可以对有些进行隐藏复件 神龙英雄合击.exe ollydbg 聆听风雨版本
Detect it Easy 绿色中文版_多功能的PE-DIY工具 用于侦 非常好用 绿色
05-02
DIE是一个多功能的PE­DIY工具,主要用于侦测。功能正日益完善,是不可多得的破解利器!这是汉化第二版,修正了在XP2系统下无法运行的错误,并优化了文件大小。 检测它容易来作为不需要安装任何种类的应用程序。你只需打开包装它,每当你需要它,它是准备去。在三种形式中,每个证明便于不同类型的用户和的情况下,提出了一种应用程序。 修正了一些错误。新的文件。Fixed some bugs. New documentation
脱壳笔记-手工脱UPX压缩
走在成长的路上
01-03 1496
对upx的手工脱壳学习笔记
detect it easy只能查 不能脱壳 脱壳要靠其它方法 研究它没有什么价值 先放下
chenhao0568的专栏
06-14 326
脱壳教程:https://blog.csdn.net/weixin_51732593/article/details/121056085
学写压缩心得系列之一 熟悉概念,未雨绸缪
weixin_33768481的博客
04-18 103
from:http://www.2cto.com/Article/201202/118214.html 这是我对之前学习写一个简单压缩的总结。期间查阅了很多的资料,借鉴了很多的代码,做了很多的笔记,有一些小心得和体会,希望与大家共同的交流和学习。再一次的感谢各位前辈们提供的无数资料。       文章分为了4个部分,从最基本的概念,到最后学习实践的代码,都在这个系列之中。文章包括: 1.数据与...
upx1一键脱壳工具
07-31
UPX1一键脱壳工具是一种能够自动解压缩使用了UPX1的可执行文件的工具。UPX1是一种常用的文件压缩工具,它能够显著减小可执行文件的体积,使其在传输和存储时更加高效。 使用UPX1一键脱壳工具可以方便地将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值