Re-脱壳技术 脱壳学习(2): 脱壳七法

最新推荐文章于 2024-02-23 13:45:09 发布
最新推荐文章于 2024-02-23 13:45:09 发布
阅读量809 收藏 3
点赞数 3
分类专栏: ctf小白成长ing # 逆向脱壳技术 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Palmer9/article/details/103644271
版权

1. ESP定律

使用条件:OD载入之后F8单步一下,寄存器ESP中存放的值被改变(开始第一条语句为pushad

1. 用OD载入

在这里插入图片描述

2. 先F8单步运行一步

在这里插入图片描述
发现ESP寄存器被改变,可以使用ESP定律
在这里插入图片描述

3.设置硬件断点

右键数据窗口跟随,|| 或者直接点HW break[ESP],此插件会自动帮忙下好硬件断点
数据窗口设置
在这里插入图片描述
从最开始的数据开始选,(别选太少就行)然后右键→断点→硬件访问→这里的三个随便选一个都可以,我一般选word
此时菜单栏→调试→硬件断点 已经有了我们下的断点
在这里插入图片描述

4.触发断点

然后F9运行程序,来到这里,此时可以删除硬件断点了
在这里插入图片描述
然后F8单步往下在这里插入图片描述
如果遇到向上图这样的,向上的代码,则在下一行代码(上图中的为地址0x004052E8)右键→断点→运行到选定位置(快捷键F4
在这里插入图片描述
删除图中的灰色代码(db 00)可以选择右键→分析→从模块中删除分析
在这里插入图片描述
分析完的模样
在这里插入图片描述
然后继续F8,此时出现了一个jmp大跳转(说明离OEP很近了)我们继续F8向下。
此时我们来到了OEP
在这里插入图片描述

2. 单步跟踪

  1. 打开程序按F8单步向下, 尽量实现向下的jmp跳转
  2. 会经常遇到大的循环, 这时要多用 F4 来跳过循环
  3. 如果函数载入时不远处就是一个call(近call), 那么我们尽量不要直接跳过, 而是进入这个call
  4. 一般跳转幅度大的jmp指令, 都极有可能是跳转到了原程序入口点(OEP)

如果执行到某一个call程序运行起来了,在call下断点,重新载入F7步入call继续单步

3. 内存镜像法

大致步骤

  1. 选择菜单的选项->调试选项->异常,勾选所有的忽略异常
  2. 按下ALT+M, 打开内存镜像, 找到程序的第一个.rsrc, 按F2下断点, 然后按SHIFT+F9运行到断点
  3. 再按ALT+M, 打开内存镜像, 找到程序的第一个.rsrc上面的.text(在示例中是00401000处), 按F2下断点. 然后按SHIFT+F9(或者是在没异常情况下按F9)

1.OD设置

  1. OD菜单栏→选项→调试设置
    在这里插入图片描述
  2. 打开【异常】标签,将所有的框都勾选上,也就是忽略所有异常
    在这里插入图片描述

2. 内存镜像下.rsrc断点

  1. 打开内存镜像窗口(快捷键Alt+M)或点击下图按钮
    在这里插入图片描述
  2. 找到当前被调试程序的rsrc段
    在这里插入图片描述
  3. F2下断点
    在这里插入图片描述
  4. F9运行
    在这里插入图片描述

3.内存镜像下.text断点

  1. 下断点
    在这里插入图片描述
  2. 运行
    **加粗样式**

4.单步跟踪

单步到这里的时候有两个向上的jmp跳转,选择jmp的下一行代码,然后F4运行到选定位置
在这里插入图片描述
继续单步
在这里插入图片描述

来到OEP
在这里插入图片描述

4. 最后一次异常

  1. 点击选项->调试选项—>异常, 把里面的√全部去掉! 按下CTRL+F2重载下程序
  2. 按SHIFT+F9, 直到程序运行, 记下从开始按SHIFT+F9到程序运行的次数m
  3. CTRL+F2重载程序, 按SHIFT+F9(这次按的次数为程序运行的次数m-1次
  4. 在OD的右下角我们看见有一个"SE 句柄", 这时我们按CTRL+G, 输入SE 句柄前的地址
  5. 按F2下断点,然后按SHIFT+F9来到断点处, F8单步跟踪

1. OD设置

  1. OD菜单栏→选项→调试设置
    在这里插入图片描述
  2. 不忽略所有异常,取消全部的勾
    在这里插入图片描述
    重载程序

2.记下从开始按SHIFT+F9到程序运行的次数m

第一次
在这里插入图片描述
第二次打开,摁了两次,则m=2

3. 重载,摁m-1次shift+F9

4. 下断点

在这里插入图片描述

  1. 在【SE处理程序】或【SE句柄】右键→反汇编窗口跟随
    在这里插入图片描述
  2. F2下断点
  3. shift+F9运行

5.单步跟踪

单步跟踪来到OEP

5. SFX

  1. 设置OD, 忽略所有异常, 也就是说异常选项卡里面都打上勾
  2. 切换到SFX选项卡, 选择"字节模式跟踪实际入口(速度非常慢)", 确定
  3. 重载程序(如果跳出是否"压缩代码?“选择"否”, OD直接到达OEP)

1.OD设置

在这里插入图片描述

2. 切换至SFX选项卡

选择 字节方式跟踪真正入口出(速度非常慢)
在这里插入图片描述
点击【确定】

3. 重载程序

重载后会自动跟踪
在这里插入图片描述
只需等待即可

4.来到OEP

等待其跟踪完之后,来到OEP
在这里插入图片描述

5.使用完毕将OD设置还原

6. 出口标志

1.寻找压栈命令

这里最开始的压栈命令为pushad,则对应的出栈命令则为popad
在这里插入图片描述

2.查找popad命令

  1. 右键→查找→命令(或者使用快捷键ctrl+F)
    在这里插入图片描述

  2. 输入popad,并取消【整个块】前面的框勾选
    在这里插入图片描述

  3. 点击【查找】

  4. 先在popad那条命令,F4,执行到选定位置。
    如果程序运行,则寻找下一个popad,(快捷键ctrl+l)直到F4后程序不运行,则找到对应pushad的那个popad

第一次在这里插入图片描述
第二次

第三次
在这里插入图片描述
第四次
在这里插入图片描述
疑似,找到OEP,F4运行到此处的popad,发现程序没有运行
在这里插入图片描述
然后F8单步跟踪找到OEP
在这里插入图片描述
在这里插入图片描述

7. 模拟跟踪

1.使用内存镜像法

2.在内存镜像中寻找.nPack段

在命令框中输入tc eip < xxx其中xxx为.nPack段的地址
在这里插入图片描述
然后OD会自动跟踪,等结果就好

Forgo7ten
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf re ,的软件挺好的
05-14
ctf re ,的软件挺好的
re学习笔记(56)WUSTCTF – Re方向WP
12-21
在"re-level2"中,遇到了一个被UPX保护的程序。UPX是一种常见的可执行文件压缩。通过使用官方的UPX工具,作者揭示了内部的原始代码,找到了flag:`wctf2020{Just_upx_-d}`。这提醒我们,逆向工程师常常需要...
的机制以及技术
weixin_41487541的博客
04-12 2074
0 的概念 是用来保护计算机软件不被非修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码; 由于能保护自身代码,许多木马和病毒都喜欢用来保护及隐藏自身; 对于一些流行的,杀毒引擎能先对目标软件进行,再进行病毒检查。对大多数私人,杀毒软件不会专门开发解压引擎,而是直接把当成木马或病毒来处理; 处于不同的目的,可以分为压缩(减小软件的体积)
暴力搜索内存空间获得API的线性地址
不急不躁
07-03 755
暴力搜索内存空间中的API一个PE文件在编译和连接成功后,会有一个Import Table,当需要执行 API的时候,会先在Import Table中得到API的地址,然后调用它 而病毒是在PE文件编译好之后才插入的,它本身没有Import Table ,那么要如何得到API的地址呢? 任何一个DLL,都可以用LoadLibraryA来装入,然后通过GetProcAddress 来取得这个DLL
re 学习 (12)i春秋-re-crackme(+xor问题)
m0_66039322的博客
07-03 107
比如加了UPX的程序在运行的时候,开始运行的就是UPX解压缩的函数,此时它会保存EBP,然后移动ESP,给函数留出足够的栈帧,当所有的解压缩完成后,它需要把所有的栈帧再进行还原,使得ESP恢复为调用函数之前的状态,此时的硬件断点就会断下来,正好为解压缩函数执行完毕的时候,而解压缩完成后,就会进行跳转到OEP,此时我们只需要F8往下跟几步,就能很快的找到OEP了!既然如此,我们就可以对ESP寄存器下一个硬件断点,使得ESP还原为调用函数之前状态的时候断下来,也就是函数执行完毕的时候断下来。
RE入门之——手UPX
weixin_45986910的博客
08-14 3165
很多加了的软件是很难逆向分析的,需要手。下面以UPX为例简单介绍一下如何手动 需要工具:x64dbg。 拿到程序以后使用x64dbg打开。
逆向学习1-[技术]/篇1
m0_52343643的博客
04-21 2564
是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非修改或反编译的目的 的分类 分为压缩和加密 压缩 压缩主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩有:Upx、ASpack、PECompat 加密 加密应用有多种防止代码逆向分析的技术,用该的PE文件会比原文件大很多,有时恶意程序也用加密来降低杀毒软件的扫描 常见的加密有:ASProtector、Armadillo、EXECryptor、T.
NET反混淆-de4dot-Reactor5.0
02-22
NET反混淆—de4dot-Reactor5.0 神器 比de4dot 4.9 更强大 可所有 RE5.0 加程序。 个别无效.. 无效时使用命令 -p dr4
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
5.处理 包括解压解密案例 6.附带4个解密案例程序,包括三个exe文件和一个linux程序的逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议...
Universal Import Fixer (UIF) v1.2 FINAL
03-09
**技术与导入表的关系:** 在逆向工程和恶意软件分析中,是一个常见操作,即移除程序的外或保护层,以暴露其原始代码。某些会修改导入表,以隐藏或混淆实际的函数调用。UIF工具可以帮助分析和恢复被修改...
Delphi在BASM中让“jmp proc”返回到下一行
08-10
摘要:Delphi源码,其它类别,BASM   本示例用于演示如何在BASM中使得“jmp proc”执行后返回到下一行。      尽管使“jmp proc”执行后返回到下一行的方很多,但要实现如下   两个目标却是比较难于做到的:    1. 不破坏栈结构,使proc()与当前函数有相同的入口参数(stdcall)    2. 代码通用,不需要每次都计算地址      这样的需求可能出现在使用raw hook技术实现的API拦截上。      本例实现了满足上述需求。但它同时导致一个严重问题:由于修改了栈   上的返回地址,因此事实上当前的JmpCall()过程在执行完并返回(ret)   时,将取得一个非确定的地址值。      这在本例中的直接后果就是:代码未尾的"readln;"一行将无执行到。      要避免这个问题,应该使用一个内存地址来暂存“当前的”返回地址,   并在“jmp proc”之后修正堆栈。
exe文件步骤txt下载
01-07
步骤 步骤 的概念: 所谓“”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的的作用: 1.保护程序不被非修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测的软件 PEID v0.92 这个软件可以检测出 450种 新版中增加病毒扫描功能,是目前各类查工具中,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的 下面进行 步骤2 对一个加了的程序,去除其中无关的干扰信息和保护限制,把他的去,解除伪装,还原软件本来的面目。这个过程就叫做成功的标志 后的文件正常运行,功能没有损耗。 还有一般后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的软件进行,由于软件的机理不通,出来的文件大小也不尽相同。 关于有手动和自动 自动就是用专门的 很简单 按几下就 OK了 手动相对自动 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的 不过它的机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符中输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外软件 UPX SHELL v3.09 UPX 外程序! 目的让UPX的傻瓜化 注:如果程序没有加 那么我们就可以省去第二步的了,直接对软件进行分析了。 完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户中的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or
技术技术技术技术
11-29
关于技术学习 希望对大家有用技术技术技术
JMP 编写的HOOK挂接函数
01-09
替换原API函数入口实现挂钩,PE文件,动态链接实现通用替换类,实现代码攻击。另外有文档介绍了其工作原理,再次声明本代码核心类部分非原创。
总结
宗泽的博客
06-09 9380
一、单步跟踪   的方有很多,先来讲中最基础的单步跟踪。单步跟踪就是利用OD的单条指令执行功能,从的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪追踪OEP的常见步骤:   1、用OD载入待文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
的各种方
冷血书生的专栏
06-14 3615
先介绍一下的基本知识吧!常见知识:              1.PUSHAD (压栈) 代表程序的入口点              2.POPAD  (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!              3.OEP:程序的入口点,软件加就是隐藏了OEP(或者用了假的OEP),              只要我们找到程序真正的OEP,
基本方
falcon_fei的博客
03-01 1136
1.PUSHAD :(压栈) 代表程序的入口点2.POPAD  :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了.3.OEP:程序的入口点,软件加就是隐藏OEP.而我们就是为了找OEP.            二.调试过程中辨认快到OEP的简单方下面二个条件是快到OEP的共同现象:若出现下面情况时,说明OEP就要到了:1. OD跟
动态调试和分析(OD和X64DBG)
最新发布
m0_72827793的博客
02-23 1939
一般情况下,由于已有栈的内容是不应更改的,简单的会选择将这样的信息压入栈(在栈上开辟新的空间),x86的汇编指令pushad可以轻松地将所有寄存器一次性压入栈,UPX也是使用了同样地方式,被形象地称为”x64DBG和OD的布局相同,左上区域为反汇编结果的显示区域,左下角区域为浏览器内存数据的区域,右下角区域为栈数据的显示区域,右上区域为寄存器的显示区域。实际上,这是一个将栈空间向上清零0x80长度的循环,并不是真实的程序代码,后面紧跟着一个向前的较远的跳转,这样跳到原代码的跳转。
史上最全最完整,最详细,软件保护技术-程序篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 4178
历史:是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机,目前公认认为公认最强。温馨提示:上瘾,可不要随意传播哦!
入门指南:揭秘技术与PE格式的重要性
学习技术需要从基础的PE格式入手,逐步深入到SEH技术的细节。这不仅是一项技术挑战,也是一次系统思维和问题解决能力的提升过程。通过不断学习和实践,新手可以逐渐突破的障碍,参与到这一充满挑战和成就感的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forgo7ten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值