experiment : EXE使用UPX加壳后, 用OD查找OEP

最新推荐文章于 2023-03-11 23:35:42 发布
最新推荐文章于 2023-03-11 23:35:42 发布
阅读量2.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LostSpeed/article/details/9205763
版权

测试程序

#include "stdafx.h"
#include <windows.h>
#include <tchar.h>

int _tmain(int argc, _TCHAR* argv[])
{
    _tprintf(L">> tmain\r\n");

    do
    {
        _tprintf(L"loop here not need quit\r\n");
        ::Sleep(1000);
    } while (1);

    _tprintf(L"<< tmain\r\n");
	return 0;
}

用VS2008, 编译成默认的Release版, 输出PE为: forTest.exe

加壳

用 UPXv3.25 对 forTest.exe 加壳, 改名为 forTestAfterUpx.exe

查壳

用 Exeinfo_v0032work_658sign 对加壳后的 forTestAfterUpx.exe 查壳


寻找OEP

用OD加载 forTestAfterUpx.exe单步寻找OEP, OEP的标志为 E8, E9打头的两行汇编.
未加壳的Vs2008程序, 用OD载入后, 直接停在E8,E9打头的2行汇编上.

单步往下走, 直到找到和未加壳程序相同的OEP


在往小地址跳的语句后面按下F4, 运行到往上跳的语句后面, 便于快速向下走. 






004079CC   .^\E2 D9         loopd   short 004079A7
004079CE   .  8DBE 00500000 lea     edi, dword ptr [esi+5000]        ;  F4
004079D4   >  8B07          mov     eax, dword ptr [edi]
004079D6   .  09C0          or      eax, eax
004079D8   .  74 3C         je      short 00407A16                   ;  解压完成后, 跳出
004079DA   .  8B5F 04       mov     ebx, dword ptr [edi+4]
004079DD   .  8D8430 B47200>lea     eax, dword ptr [eax+esi+72B4]
004079E4   .  01F3          add     ebx, esi
004079E6   .  50            push    eax
004079E7   .  83C7 08       add     edi, 8
004079EA   .  FF96 F0720000 call    dword ptr [esi+72F0]
004079F0   .  95            xchg    eax, ebp
004079F1   >  8A07          mov     al, byte ptr [edi]
004079F3   .  47            inc     edi
004079F4   .  08C0          or      al, al
004079F6   .^ 74 DC         je      short 004079D4
004079F8   .  89F9          mov     ecx, edi
004079FA   .  57            push    edi
004079FB   .  48            dec     eax
004079FC   .  F2:AE         repne   scas byte ptr es:[edi]
004079FE   .  55            push    ebp
004079FF   .  FF96 F4720000 call    dword ptr [esi+72F4]
00407A05   .  09C0          or      eax, eax
00407A07   .  74 07         je      short 00407A10
00407A09   .  8903          mov     dword ptr [ebx], eax
00407A0B   .  83C3 04       add     ebx, 4
00407A0E   .^ EB E1         jmp     short 004079F1                   ;  最后一轮解压循环
00407A10   >  FF96 04730000 call    dword ptr [esi+7304]
00407A16   >  8BAE F8720000 mov     ebp, dword ptr [esi+72F8]        ;  解压完成
00407A1C   .  8DBE 00F0FFFF lea     edi, dword ptr [esi-1000]
00407A22   .  BB 00100000   mov     ebx, 1000
00407A27   .  50            push    eax
00407A28   .  54            push    esp
00407A29   .  6A 04         push    4
00407A2B   .  53            push    ebx
00407A2C   .  57            push    edi
00407A2D   .  FFD5          call    ebp
00407A2F   .  8D87 07020000 lea     eax, dword ptr [edi+207]
00407A35   .  8020 7F       and     byte ptr [eax], 7F
00407A38   .  8060 28 7F    and     byte ptr [eax+28], 7F
00407A3C   .  58            pop     eax
00407A3D   .  50            push    eax
00407A3E   .  54            push    esp
00407A3F   .  50            push    eax
00407A40   .  53            push    ebx
00407A41   .  57            push    edi
00407A42   .  FFD5          call    ebp
00407A44   .  58            pop     eax
00407A45   .  61            popad                                    ;  解压完成后的 POPAD
00407A46   .  8D4424 80     lea     eax, dword ptr [esp-80]
00407A4A   >  6A 00         push    0
00407A4C   .  39C4          cmp     esp, eax
00407A4E   .^ 75 FA         jnz     short 00407A4A                   ;  调整堆栈呢
00407A50   .  83EC 80       sub     esp, -80
00407A53   .- E9 8498FFFF   jmp     004012DC                         ;  解压完成后, POPAD后的跨段跳转
可以看出, UPX解压完成的标志是POPAD, 加一句跨段跳转, 跑到OEP. 
004012DC    E8 77040000     call    00401758                         ; E8E9两行是OEP~, 未加壳的原始程序EP也是E8E9, E8E9两行的OPCODE也和未加壳程序相同.
004012E1  ^ E9 9FFDFFFF     jmp     00401085
004012E6    8BFF            mov     edi, edi
004012E8    55              push    ebp
004012E9    8BEC            mov     ebp, esp
004012EB    81EC 28030000   sub     esp, 328

比对在加壳程序解压后找到的OEP和未加壳程序OEP

对照未加壳程序的EP 
013D12DC > $  E8 77040000   call    013D1758
013D12E1   .^ E9 9FFDFFFF   jmp     013D1085
013D12E6   >  8BFF          mov     edi, edi
013D12E8  /.  55            push    ebp
013D12E9  |.  8BEC          mov     ebp, esp
013D12EB  |.  81EC 28030000 sub     esp, 328

经过对比, 程序基址 + 0x12DC, 就是OEP.






LostSpeed
关注
脱壳学习记录----EXEOEP
qq_42192672的博客
09-11 455
参考文献就是加密解密3,算是整合一下自己的学习记录吧,方便以后看 脱壳:程序总有自己的初始入口点(OEP),可以为了保护或者是隐藏性破坏,会给程序加上一层壳,这样当你分析带壳的程序时,访问的入口点就不会是OEP,分析程序的时候可以能出吧外壳里的一大堆混淆或者其余代码段读入,导致无法清晰的分析。那么就需要脱壳了,显然第一步就是要找到OEP 我们先自己给程序加个壳 初始程序链接:https://...
oep查找.exe
10-25
( oep查找.exe )( oep查找.exe )
快速查找UPXOEP的方法(一)
蜂刺
10-27 1019
方法一UPX的压缩器的特征之一是,其EP代码被包含在PUSHAD和POPAD之间,并且跳转到OEP的JMP指令会紧接着出现在PUSHAD指令之后,我们只需要找到符合以下两点条件的JMP指令并设置断点就可以顺利找到OEP: 条件一:这条JMP指令上方几条指令内有PUSHAD 条件二:这条JMP指令跳转到主程序空间内,且跟随后第一条指令是push XXX 方法二方法二也利用了PUSHAD \P
手脱压缩壳UPX的4种查OEP方法
黑KING的博客
07-31 781
目录 先使用PEid进行查壳,可以看出壳的详细信息 方法一 单步跟踪 方法二 ESP定律法 方法三 两次内存镜像法 方法四 一步直到法 先使用PEid进行查壳,可以看出壳的详细信息 方法一 单步跟踪 打开软件,发现pushad指令,如果未发现,在软件中运行一下,就会到pushad,然后一直进行向下单步操作 发现有向上循环,在其循环的下一行,右键断点,F4在此行...
显示.exe文件OEP
04-30
此工程已在VC++6.0下测试通过,用于显示指定.exe文件的入口(OEP)
angular-delorean-experiment:使用 delorean.js 用 angularjs 试验 Flux 架构
07-13
标题"angular-delorean-experiment:使用 delorean.js 用 angularjs 试验 Flux 架构"表明这是一个关于使用 AngularJS 框架进行前端开发的实验项目,其中结合了 Delorean.js 库来实现 Flux 架构的概念。Flux 是 ...
oam-rbush-experiment:尝试使用rbush快速生成用于OAM的方阵栅格
04-30
快速演示 要运行,请克隆此存储库,然后: npm install npm start 如果您在全球范围内installify了budo和installify ,则可以跳过npm install 。 哈克! 入侵index.js 。 在服务器运行的情况下, installify转换将...
nuxt-experiment使用nuxt.js进行实验
02-21
这个仓库是我尝试使用Nuxt.js的地方。 到目前为止,它包含: 我的感激日记 我的篝火歌集 出现日历 山脉信息 使用iTunes Search API搜索歌曲 使用带有鼠标和触摸事件HTML Canvas的绘图应用程序; 使用户可以保存...
webrtc-experiment:使用电子和SimpleWebRTC的实验性跨平台桌面应用程序
05-11
webrtc实验 克隆存储库 运行npm install 在Mac上,运行npm run build 在Windows上,替换--platform = win32 --icon = Icon.ico并运行npm run build
sinatra-docker-experiment:使用 Docker Compose 运行 Sinatra 应用
06-10
Sinatra/Docker Compose 实验 运行应用程序 $ docker-compose build $ docker-compose start
upx.exe及说明文件
08-01
UPX the Ultimate Packer for eXecutables 是一款先进的可执行程序文件压缩器 压缩过的可执行文件体积缩小50% 70% 这样减少了磁盘占用空间 网络上传下载的时间和其它分布以及存储费用 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行 对于支持的大多数格式没有运行时间或内存的不利后果 UPX 支持许多不同的可执行文件格式 包含 Windows 95 98 ME NT 2000 XP CE 程序和动态链接库 DOS 程序 Linux 可执行文件和核心 ">UPX the Ultimate Packer for eXecutables 是一款先进的可执行程序文件压缩器 压缩过的可执行文件体积缩小50% 70% 这样减少了磁盘占用空间 网络上传下载的时间和其它分布以及存储费用 通过 UPX 压缩过的程序和程序库完全没有功 [更多]
UPX(EXE文件压缩器)
05-31
打包常用的工具,上传到CSDN,防止丢失,赚取积分,方便大家,有问题联系我
UPX 压缩加密 EXE文件
10-09
UPX 用于压缩 加密 EXE文件
查壳工具GUI UPX EXE压缩机
10-22
UPX Easy GUI是受欢迎的一个GUI UPX EXE压缩机。界面非常简单,用户友好的,它提供了最容易获得记录UPX参数不需要使用命令行。 软件也可以添加在Windows资源管理器的上下文菜单选项“UPX简单的GUI压缩”和“减压UPX容易GUI”快速(de)可执行文件的压缩
UPX加壳压缩工具FreeUPXV2.3绿色汉化版
07-24
UPX(the Ultimate Packer for eXecutables)是一个非常全面的可执行文件压缩软件,支持dos/exe、dos/com、dos/sys、djgpp2/coff、 watcom/le、win32/pe、rtm32/pe、tmt/adam、atari/tos、linux/i386等几乎所有平台上的可执行文件, 具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较,F
c语言读取exe的pe标记,VC读取PE文件OEP(程序入口)
weixin_42451850的博客
05-21 857
OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。照着网上的教程写了一遍,收 获不小,现在对PE文件的前两部分已经有一定的了解了。下面的代码很简单,首先用CreateFile读取PE文件,PE文件的起始位置是DOS部分,DOS部分又分为DOS MS文件头和DOS块,在DOS MS文件头中包含了PE文件头的起始地址,而DOS块中的数据没啥...
《逆向核心原理》第十五章----调试notepad_upx.exe
qq_55785697的博客
04-05 563
零、前情提要 我们常见的压缩比如zip、7z、rar等都是通过合适的压缩算法将大东西变成小东西,就像挤出海绵里的水、压出杯子里的空气或者榨出论文里的水一样;而今天提到的upx称之为运行时压缩,仅针对可执行文件,压缩后仍为可执行文件,其中包含解码程序和源代码。 一、比较upx加壳前后的pe结构 用peview打开两个exe加壳前的notepad.exe其中包含text、data、src节,加壳后text和data节消失,取而代之的是upx0和upx1。 可以发现notepad_upx.exe中,
脱壳--00.upx.exe
weixin_45012273的博客
02-08 332
OD打开程序 直接esp定律 直接运行程序 发现这个jmp的跳转距离较大 像是跳到oep的样子 让我们跳转一下 入口点五个连续的call 下面还都是0 第一个函数调用还是GetModuleHandleA函数的的话那就是一个Delphi程序 直接DUMP 和修复导入表 转存文件到dump的程序 脱壳成功 程序成功运行 ...
PyInstaller 使用UPX压缩减少exe大小
最新发布
HowieXue 薛永浩的博客
03-11 9712
解压原理:是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。用户执行的只是这个外壳程序。当执行这个程序的时候这个壳就会把原来的程序在内存中解开,解开后,以后的就交给真正的程序。加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。UPX是一个著名的压缩壳,主要功能是压缩PE文件(比如exe,dll等文件),或者 将upx.exe放入当前 python/conda的环境目录下,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值