快速查找UPX 的OEP的方法(一)

最新推荐文章于 2024-07-09 00:09:55 发布
最新推荐文章于 2024-07-09 00:09:55 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 软件逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WYQ2011302646/article/details/49446005
版权

方法一

UPX的压缩器的特征之一是,其EP代码被包含在PUSHAD和POPAD之间,并且跳转到OEP的JMP指令会紧接着出现在PUSHAD指令之后,我们只需要找到符合以下两点条件的JMP指令并设置断点就可以顺利找到OEP:

条件一:这条JMP指令上方几条指令内有PUSHAD
条件二:这条JMP指令跳转到主程序空间内,且跟随后第一条指令是push XXX

方法二

方法二也利用了PUSHAD \POPAD。因为PUSHAD将8个寄存器的值压栈保存起来,而POPAD则相反是将这些值弹出送归原处,所以我们在执行第一条指令:PUSHAD后,停下来观察堆栈的情况:
这里写图片描述
这里写图片描述

我们看到寄存器值已经压栈了,接下来在数据窗口中,转到栈顶的地址也就是0006FFA4 ,然后打硬件access断点
这里写图片描述

接着按F9执行,断在POPAD指令之后的lea指令上,‘
这里写图片描述

我们看到下面就是JMP语句,我们跟进这条JMP指令看看:
这里写图片描述

这里就是程序的OEP了

相比较两种方法,第二种方法明显要简单粗暴,可行性要好很多,第一种方法在查找时费时又费力,可以找到好几个POPAD但是具体哪个是我们需要查找的,并不是很容易分辨,第二种直接通过硬件断点的方式可以一下子定位,方便快捷。
2015年10月27日

蜂刺
关注
专栏目录
【脱壳-寻找OEP】通过堆栈平衡法找到OEP(ESP定律)
这个人很懒什么都没有留下
10-19 419
本次教程用的还是用UPX的加密,直接载入这个文件可以看到一个pushad,每个pushad都有他对应的popad,他的作用就是把右边的寄存器内容压入栈中,popad就是把压入栈中的内容进行还原。我们到堆栈里给他设置一个硬件访问断点,因为他是从第一个开始弹出所以要在第一个地址里设置断点,所以等到他pop出来还原的时候也就是解码完成了,就可以顺着找到oep。对比后发现他把内容都给压入到栈中了,到popad那一步的时候他又会把压入的内容还原到堆栈中去。跳过去就是我们的OEP了。
脱壳基础篇——常用六操作
摔不死的笨鸟的博客
12-09 879
本文适合入门级别脱壳选手学习,可以作为方法总结笔记。目录如下: 1.DUMP方法 2.ESP定律的本质 3.二次内存镜像方法 4.搜索命令法 5.模拟跟踪法之SFX 1.DUMP方法 在OD中提供两种方式进行脱壳,点击重建输入表。对于一些简单的壳来说,一般都会直接成功。 5.模拟跟踪法之SFX法 该方法缺点是速度有点慢,但是比较省事儿。是使用块方式跟踪,还是字节方式跟踪,要视情况而定。 这里...
免杀破解利器-OEP查找工具-OepFinder汉化版
05-24
免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版
UPX快速定位OEP
fa1c4的blog
03-04 389
两种技巧 都是基于PUSHAD/POPAD的指令特点. 朴素跟踪一遍解压缩过程, 可以发现EP代码都是在PUSHAD/POPAD指令之间, 所以解压完之后跳转到OEP的这一短暂过程就发生在POPAD和JMP指令之间. 基本思想就是断点到POPAD之后. 一 在POPAD指令之后的JMP指令处下断点, 执行就完成了解压过程, 再跟进就是OEP 可能会有多个POPAD指令, 一条条找下来发现其后接JMP的那一条大概率就是 跟进之后验证知道OEP是0100739D. 二 在PUSHAD命令后查看栈, 可以看到
upx脱壳
最新发布
m0_62280492的博客
07-09 1807
介绍CTF比赛中常见的upx壳类型
experiment : EXE使用UPX加壳后, 用OD查找OEP
谢绝(无视)留言与私信
06-30 2497
测试程序 #include "stdafx.h" #include #include int _tmain(int argc, _TCHAR* argv[]) { _tprintf(L">> tmain\r\n"); do { _tprintf(L"loop here not need quit\r\n"); ::Sleep(100
手脱压缩壳UPX的4种查OEP方法
黑KING的博客
07-31 781
目录 先使用PEid进行查壳,可以看出壳的详细信息 方法一 单步跟踪 方法二 ESP定律法 方法三 两次内存镜像法 方法四 一步直到法 先使用PEid进行查壳,可以看出壳的详细信息 方法一 单步跟踪 打开软件,发现pushad指令,如果未发现,在软件中运行一下,就会到pushad,然后一直进行向下单步操作 发现有向上循环,在其循环的下一行,右键断点,F4在此行...
OEP TOOL 查找工具
06-29
查找OEP的工具 能快速识别软件的OEP
运行时压缩(UPX
Mi1k7ea
06-07 3994
任何文件都是由二进制组成的,因而只要使用合适的压缩算法,就可以是文件大小进行压缩。无损压缩:经过压缩的文件能完全恢复。如7-zip、面包房等压缩程序。有损压缩:经过压缩的文件不能完全恢复。压缩多媒体文件时大部分使用有损压缩。运行时压缩器:运行时压缩器(Run-Time Packer)是针对可执行文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间在内存中解压缩后执行。运行时压缩文件也是PE文件...
《逆向核心原理》第十五章----调试notepad_upx.exe
qq_55785697的博客
04-05 565
零、前情提要 我们常见的压缩比如zip、7z、rar等都是通过合适的压缩算法将大东西变成小东西,就像挤出海绵里的水、压出杯子里的空气或者榨出论文里的水一样;而今天提到的upx称之为运行时压缩,仅针对可执行文件,压缩后仍为可执行文件,其中包含解码程序和源代码。 一、比较upx加壳前后的pe结构 用peview打开两个exe,加壳前的notepad.exe其中包含text、data、src节,加壳后text和data节消失,取而代之的是upx0和upx1。 可以发现notepad_upx.exe中,
壳的介绍已经脱壳常用思路
06-10
- 针对某些特定的壳,如UPX、ASPACK等,可以采取专门的方法快速定位OEP。 - 例如,对于UPX壳,可以在OD中搜索“popad”指令,并结合F2和F9按键进行跟踪,直至找到OEP。 - 对于ASPACK壳,可以通过观察程序资源中...
PE文件的UPX脱壳算法的实现
06-23
PE是Portable Excutable的缩写,指“可移植可执行”文件,是32 位 Windows操作系统可执行文件的标准格式。在计算机安全领域中PE文件如果被修改或者被反编译,都会使计算机产生安全隐患或者使软件的核心技术被窃取,所以保护PE文件不被修改是一件很重要的工作,当前通常采用加壳的方法对PE文件进行保护,这其中UPX是具有代表性的压缩类外壳。 本文首先对PE文件格式进行了全面细致的研究,PE文件的头部结构对可执行文件进行了整体描述,是加壳脱壳工作的重要信息来源。接下来本文还分析了外壳的加载流程以及UPX的加壳流程,外壳的加载流程具有普遍规律,掌握外壳的加载流程是理解外壳的工作机制以及编写加壳脱壳程序的基础。最后针对UPX外壳采用动态脱壳设计方案,进行UPX动态脱壳算法的设计与实现,动态脱壳设计思路以外壳程序在内存中还原出原文件为突破口,将加壳文件载入内存使其自行脱壳,并抓取内存映像,完成原文件的构造。相比于静态设计方案,动态脱壳设计方案具有更强的通用性。
可执行文件打包工具-Molebox 4.1290 绿色汉化破解版.
05-24
MoleBox 是一个 Windows 应用程序的运行时可执行文件打包工具。它可以将一个应用程序及其需要的所有数据文件打包为一个可执行文件。MoleBox 也允许你用一套数据包创建一个可执行文件就像整合动态链接库到可执行文件一样。 当处理一套应用程序时,MoleBox 可以压缩并加密可加密的文件、数据和媒体文件及动态链接库。您可以用MoleBox 保护您的应用程序的数据和媒体文件,防止查看和改动,并防止您的动态链接库被第三方程序使用。 Molebox 不会影响原始应用程序的任何功能,也不需要任何额外的编程。解压和解密(如果必需)是自动进行的,运行应用程序时感觉不到。
UPack调试——查找OEP
wk19951125的博客
02-14 194
UPack调试——查找OEPOD运行错误解码循环设置IAT参考文献 OD运行错误 OD直接加载会报错,通过Stud_PE确定EP虚拟地址: 并在OD中通过New origin here命令进行设置。 解码循环 设置IAT 一般而言,压缩器执行完解码循环后会根据原文件重新组织IAT: 参考文献 《逆向工程核心原理》 ...
UPX 教程
Quincylk的专栏
10-17 3441
原文:http://blog.csdn.net/mengyafei43/article/details/22887649 UPX是一个通用可执行文件压缩器,由于其具有: 压缩率高:压缩效果优于zip/gzip;解压速度快:在奔腾133上即可达到大约10MB/秒;压缩的可执行文件没有额外的内存开销;安全:可以列表,检测和解压可执行文件,压缩和解压缩文件内部都维持有一个校验和;广域:可以压
手工脱壳之 UPX 【随机基址】【模拟UPX部分算法】【手工C++重建重定位表】
aihan8042的博客
03-20 382
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录表: 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通...
upx交叉编译过程
iefswang的专栏
12-06 6968
upx(the Ultimate Packer for eXecutables),是一款对可执行程序进行加壳脱壳工具,目的在于压缩程序,节省磁盘空间。应用程序在加壳后,仍可以执行,执行时,解压后动态加载到内存执行。 加壳脱壳 程序为了反跟踪、被人跟踪调试、防止算法程序被别人静态分析就需要加壳。使用加壳软件加密代码和数据,就可以保护你程序数据的完整性,防止被程序修改和被窥视内幕。
LINUX编译UPX
在线笔记
10-08 5695
1.压缩 UPX 使用一种叫做UCL的压缩算法,这是一个对有部分专有算法的 NRV(Not Really Vanished)算法的一个开源实现。 UCL被设计的足够简单使得解压缩只需要数百字节的额外代码。UCL在解压缩过程中不需要额外的内存,这最大的好处就意味着经过UPX压缩的可执行文件执行时通常也不需要额外的内存。 UPX(从2.90 beta版本开始)可以在
手脱UPX方法介绍
biao197的专栏
07-30 1232
方法1:单步跟踪 F8单步跟踪,向上不能让他跳,有loopd循环也一样(跳转的下一行按F4:运行到选定位置,循环loopd在call下一句F4执行) 只允许向下跳,如单步跟踪CALL处程序运行,则需要重载程序,再CALL处F7跟进(近CALL F7,远CALL F8) pushad 入栈 popad:出栈 出栈就离OEP不远了 看基址如有大的跳转则为调到O...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值