逆向(2)-upx脱壳(2)

于 2024-03-04 21:20:23 发布
阅读量1.2k 收藏 12
点赞数 17
分类专栏: 逆向工程 文章标签: 网络安全 安全 系统安全 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_33751906/article/details/136453495
版权

继续来学习关于upx手脱的技巧

ESP定律法

ESP定律的原理就是“堆栈平衡”原理。
还是老样子的程序
在这里插入图片描述
首先程序执行了pushad 指令将所有的寄存器压入栈中
一开始观察寄存器中的值
=
这里我们选择步入
也就是执行pushad指令后观察寄存器的值
在这里插入图片描述
可以发现只有esp变化了
那么
何为esp?何为eip?程序在执行的时候函数栈的调用是什么样子的呢?
这里我们要来探究一下

函数调用栈

何为函数调用?
调用的时候栈的分布是如何的?

https://blog.csdn.net/baidu_33751906/article/details/121642391

详情见我另一篇文章
在这里插入图片描述
在程序运行的时候 分为被调用函数和主动调用函数 也就是caller和Callee

栈在内存空间中是由高地址向低地址也就是自上而下的 从栈底到栈顶
首先在caller调用call指令的时候,进行两步操作

push eip
jmp near ptr add

也就是先把call指令的下一条指令放到栈中(这条指令存在ip寄存器里)
后进行跳转到地址处。

而在执行ret&&retf类型的指令时
会将当前的ESP寄存器中的地址出栈,然后进行跳转

简单了解即可,毕竟咱做的目前是逆向不是pwn

那么我们该如何利用ESP守恒定律来进行脱壳呢?
简单来说。我们来梳理一下:
加壳的程序在运行开始的时候 会进行解密 ,我们来思考一下
在解密的时候 ESP指针的内容 是不是一定会有两次重复的时候?
意思就是说,在解密完成之后esp寄存器里的值会变回最初的值
这就叫ESP平衡定律
因此我们只要找到ESP两次值相同的时候,也就是对ESP进行追踪,ESP指针归为的那一刻,就是找到了EP(入口点)

我们来实战吧
老样子
先在运行开始步入
找到ESP的值

在这里插入图片描述
这个时候是在pushad之后进行的
因此此时保存的sp寄存器里的值到最后解密完成后会回到最初的值,因此对这里的ESP进行追踪即可
在这里插入图片描述

在这里插入图片描述
在此处对ESP指针所指的地址进行数据访问后,加一下内存访问断点
在这里插入图片描述
随后运行程序
在这里插入图片描述
很熟悉,跟上一篇文章中手动进行的调试结果是一样的
在这里插入图片描述
也是找到了push ebp
结束了 这篇文章利用了esp守恒定律对upx进行脱壳
在这里插入图片描述
下一篇文章继续讲解 其他upx的脱壳手段

二进制菜鸟K1rito
关注
专栏目录
猿人学2022APP逆向--第八题 upx
qq_38759383的博客
06-07 510
upxupx (一种可执行程序文件压缩器) UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/...
OD 手动脱壳 - UPX
文公子的博客
08-03 3103
OD 手动脱壳 - UPX 1. 准备工作 1.OD 吾爱破解版 链接:https://pan.baidu.com/s/1ErDTW3D1n_XTAfTh8uMEbQ 提取码:tr45 2. 待脱壳程序 test2.exe 链接:https://pan.baidu.com/s/1GUseFGIB8jnrhGE_0bSZoA 提取码:xki4 3. 查壳工具 PEiD 0.95 链接:https://pan.baidu.com/s/1WUBRRcmu19CxKCh8u
逆向UPX脱壳
围城
05-18 2012
2020/05/18 - 引言 本身对加壳这种东西只是知道,只知道可以使用软件进行自动化脱壳,没有具体了解过原理。然后,最近部署的蜜罐经常下载UPX加壳的样本。这次就来分析一下。 学习到的东西 利用vim修改十六进制内容 upx脱壳 样本 首先,蜜罐中经常下载的一个文件名称为i。 i样本 文件已经stripped,然后通过string命令查看,大部分字符串没有什么意义,但可以看到有...
利用ESP定律法手动脱upx
2201_75522173的博客
07-07 471
ESP定律法是脱壳的利器,是应用频率最高的脱壳方法之一.
CTF逆向-Upx脱壳攻防世界simple unpack
道阻且长,行则将至。
04-11 6312
文章目录前言UPX技术原理应用范围软件使用CTF实战程序查壳UPX脱壳总结 前言 加壳软件分两类: 压缩壳:压缩的目的是减少程序体积,如 ASPack、UPX、PECompact 等; 加密壳:加密是为了防止程序被反编译(反汇编)、跟踪和调试,如 ASProtect、Armadillo、 EXECryptor、Themida、VMProtect。 壳的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。 加密壳的基本思路: 将原本程序的 PE 相关代码复制
逆向UPX工具使用及加壳
热门推荐
lanlanla的成长历程
01-08 2万+
加壳常用的工具: https://www.52pojie.cn/thread-165931-1-1.html 下载UPX加壳脱壳工具: http://upx.sourceforge.net/ UPX使用教程: http://blog.sina.com.cn/s/blog_6b3d887701011n8s.html 尝试如下: 打开cmd命令行进入到upx.exe所在的位置,输...
软件逆向
weixin_46546499的博客
11-06 370
脱壳工具之UPX 针对win64位 仅在命令行下才能使用 使用-h可查询命令 -o是输出文件 file是文件名 使用时可以直接拖动进命令行 命名使用规则 upx.exe -d -o 生成文件名 脱壳文件名 文件特色,保留原函数,能脱大部分的壳 python文件下的逆向 PYC文件 python为了提高运行效率也会进行编译 python是解释型语言,运行的时候需要通过python解释器编译,所以先编译出pyc文件后,可以节省编译这一步的耗时时间。 不想让源码泄露。 因为py文件是可以直接看到
upx脱壳机--用于upx脱壳
02-05
"upx脱壳机"则是专门针对UPX压缩的程序设计的一款工具,旨在帮助用户剥离UPX外壳,恢复原始的未压缩代码。 在Windows环境下,"upx脱壳机"作为一个简单的脱壳工具,提供了用户友好的图形用户界面(GUI),使得操作...
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
最新发布
05-27
UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩工具、可执行文件加壳脱壳器,该程序的缺点是只能使用命令控制台运行。 .................. Free UPX简称FUPX,是专门针对UPX开发的图形窗口界面程序,...
upx脱壳
10-03
"upx脱壳机"则是专门用于去除这些UPX壳的工具,它可以帮助分析人员揭示被UPX压缩的程序的真实内容,以便进行病毒分析、逆向工程或其他安全研究。 HA_UPXShell342_x_chenmy.exe 是一个可能的UPX脱壳机程序,由chenmy...
upx加壳工具
03-09
Qt程序压缩利器你懂的
完整的UPX软件——用于压缩应用程序
09-01
UPX软件是专门对.exe应用程序进行脱壳压缩的,可以压缩50%到70%,但不影响应用程序的性能。这个版本是最完整的UPX软件,比其他版本要全。
UPX最新版本
07-27
UPX压缩壳官方最新版本,程序猿都知道.
讲述UPX壳的运行原理
zacklin的专栏
04-01 7596
加壳软件可分为两类:一类是压缩,一类是保护。压缩的目的是减少程序体积,如ASPack、UPX、PECompact等。保护是为了防止程序被跟踪和调试,如ASProtect、幻影。壳的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。下面我们一起来认识一下一个程序有壳和没有壳的区别以及带UPX壳的一些特征,同时,我们也可以了解一下PE文件的结构。开始之前
逆向入门-脱壳学习第一课-手脱upx
qq_40712579的博客
03-25 699
首先使用peid查壳 可以看见壳为UPX 然后打开od。 使用单步跟踪法。(只允许向下的跳转,不允许向上的跳转) 点击单步运行,单步向下调试。 如果遇见向上的跳转,就在其下方使用f4设置断点,然后接着运行, (注意:如果此时下方为call代码,就在call代码的下方再设置断点。) 之后,跳到如图所示,为push ebp,即找到入口段 接下来便可以开始脱壳了,三种方法:...
upx 源码分析
heartcleaner的专栏
06-16 1899
upx 加壳文件组成,upx源码分析
upx加壳原理
抠专栏
03-14 3973
原文 upx的功能有两种描述。一种叫做给程序加壳,另一种叫压缩程序。其实这两种表述都是正确的,只是从不同的 角度 对upx的描述。 upx的工作原理其实是这样的:首先将程序压缩。所谓的压缩包括两方面,一方面在程序的开头或者其他合适的 地方 插入一段代码,另一方面是将程序的其他地方做压缩。压缩也可以叫做加密,因为压缩后的程序比较难看 懂,主要是 和原来的代码有很大的不同。最大的表现也就是
逆向-新年快乐(UPX加壳)-学习笔记
小龙在线
08-26 563
先用IDA打开 查看段信息 UPX加壳了。 用Ollydbg调试: 从内存视图,UPX0入口调试,设置内存访问断点,进入CPU视图,F9运行。 不知如何跳转(应该在另一个段中): 设置断点: F9运行, F8单步调试 进入 右键-搜搜-智能搜索: 查到可疑的HappyNewYear!,点击,进入找到关键的跳转: 在scanf下面设置断点,F9运行: 测试一下: F8单步执行: 查看参入的参数: 左边跳转时灰色的,不会跳转到正确的: 输出Wrong。 重新运行: 选中要运行的那
UPX-windows版本的编译
KD的疯狂实验室
02-20 7623
网上有不少教程谈到如何在Linux下编译UPX源代码.但是几乎没有VS下编译的指南. 因工作需要,我从一份老版本UPX-VS项目中,摸索出了最新版本VS编译的步骤,拿出来分享给大家.
upx脱壳机 csdn
10-22
UPX脱壳机是一种用于去除可执行文件中UPX压缩壳的工具。UPX是一款常用的开源可执行文件压缩工具,可以将可执行文件压缩成较小的体积,以减少文件的大小和磁盘占用空间。然而,有些情况下,我们可能需要对压缩过的文件进行脱壳操作,以还原原始的可执行文件。 CSND是一家知名的IT技术社区,提供了众多开发者分享技术经验的平台。在CSND上,我们可以找到许多与编程、软件开发等相关的文章、教程和工具。 因此,UPX脱壳机CSND指的是在CSND上可以找到UPX脱壳机这样一款工具或文章,该工具或文章主要用于介绍如何去除UPX压缩壳,并提供相应的脱壳工具供开发者们使用。这样的工具或文章可能介绍脱壳的原理和方法,以及使用脱壳机的步骤和注意事项。 总的来说,UPX脱壳机CSND是指通过在CSND上获得有关UPX脱壳机的相关信息和资源,帮助开发者们更好地进行可执行文件的解压缩操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值