upx3.94 x64加壳后dump内存并修复过程记录

最新推荐文章于 2024-04-13 10:48:47 发布
最新推荐文章于 2024-04-13 10:48:47 发布
阅读量1.4k 收藏 1
点赞数
文章标签: git
原文链接:https://my.oschina.net/u/1171187/blog/1143063
版权

最近因为公司的一些事情,要面临重新找工作,希望可以找找逆向相关的工作,但是我以前也只做过反编译的工作,破解之类的工作中完全没有接触过,就想学习学习脱壳。就先从upx下手。

upx壳是种压缩壳,是将原有程序image进行压缩,在生成的可执行程序的entrypoint处代码进行解压,在解压完全后在跳转到原本程序的entrypoint,即OEP(orginal_entry_point)。

要想获取不压缩的原始代码,只需要在解压后将内存拷贝出来,做成可执行程序,oep就是一个比较好的时间点,另外为了让我们生成的可执行程序能从正确的代码开始执行,获得oep的大致位置也是必须的

##找OEP

我看了看段带壳程序ep到oep之间的代码,只看出是将upx1节中的数据进行一些处理后存入upx0节中,实际加密解密算法并有也没打算一定要搞清。上面说ep到oep之间代码,EntryPoint在pe头里有记录,x64dbg之类的调试器运行可执行程序时第一次会停在ntdll的代码中,第二次停在ep处。OEP这个upx有方便的方法可以找到。看网上说upx在ep处pushad,解压后popad,然后一个大跳转到oep,所以搜索popad就好了。但是x64下没有pushad/popad指令了,但是ep处代码是四个push指令 输入图片说明

那我就去找与之匹配的pop指令,果然

最低0.47元/天 解锁文章
chilu6000
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
upx3.94手动脱壳
海阔天空
07-15 5068
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx加壳,使用ESP定...
运行时压缩(UPX
Mi1k7ea
06-07 3913
任何文件都是由二进制组成的,因而只要使用合适的压缩算法,就可以是文件大小进行压缩。无损压缩:经过压缩的文件能完全恢复。如7-zip、面包房等压缩程序。有损压缩:经过压缩的文件不能完全恢复。压缩多媒体文件时大部分使用有损压缩。运行时压缩器:运行时压缩器(Run-Time Packer)是针对可执行文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间在内存中解压缩后执行。运行时压缩文件也是PE文件...
upx脱壳
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
01-16 455
upx的oep一般是在popad后面最后一个跳转指令的目的地址。主要的难点在于导入导出表的修复,此处使用了x64dbg中的scylla插件。找到oep之后,需要将pe文件在内存中的数据DUMP出来,但是此时dump出来的文件需要修复导入导出表。工具:通过x64dbg来实现,主要是想利用scylla插件来修复PE文件。脱壳原理:esp平衡。
用x32/x64dbg脱DLL壳(IAT表修复和重定位表修复)
qq_41866334的博客
05-06 4840
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
upx脱壳(最简单方法之一)
最新发布
2301_80820096的博客
04-13 1037
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
windbg 分析dump_一次奇安信面试时的样本分析
weixin_39995774的博客
12-13 258
导语情况说明:该样本存在一定的环境监测,不加处理直接,在虚拟机分析,不会完全复现样本行为。样本获取地址:链接:https://share.weiyun.com/5BMWxRZ 密码:e94gnn1 沙箱检测这里沙箱并未检测出样本具有反虚拟机的特征2 分析详情相关关键点批注这里称该进程为第一进程首先样本具有自解密功能样本会通过CreateToolhelp32Snapshot枚举进程,并...
【逆向】【UPX】【ODdump】硬件断点后内存转储程序无法运行成功解决及脱壳步骤
lanlanla的成长历程
01-08 1570
目录 问题如下: 解决: 总结: 问题如下: 脱壳的时候我下了硬件断点:在PUSHAD的下一步查看ESP,OD的左下角goto到esp指向的地址,然后右键下硬件断点。 这样再运行很容易就直接定位到了POPAD,看起来都挺顺利的,很容易找到了OEP的位置。但是内存转储出来的exe打开无效果不运行,在110版本的OD中提示:“hasentrypointoutsidethecode...
upx脱壳教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 2324
逆向常见的upx壳,如何手脱壳,怎么去手脱upx
upx-3.94-src.zip_UPX_UPX 3.94 压缩_linux 压缩壳_upx src_加壳
09-21
然而,这并不意味着UPX加壳后的程序就完全不可逆向,高级的逆向工程师仍然有可能穿透壳层,分析程序的内部结构。 综上所述,UPX 3.94是用于Linux的可执行文件压缩和加壳工具,其源代码提供了深入理解这一过程的机会...
UPX3.94+vs2015编译
06-04
标题“UPX3.94+vs2015编译”表明我们将讨论如何使用UPX 3.94版本与Microsoft Visual Studio 2015(简称VS2015)结合,来编译和打包项目。 UPX 3.94UPX的一个特定版本,可能包含了该时期的优化和修复。使用最新或...
upx 3.94 在 vs2015下编译通过
05-24
UPX 3.94是该工具的一个特定版本,它在Visual Studio 2015环境下已经成功编译并通过测试,这意味着用户可以在VS2015这样的集成开发环境中利用这个版本进行调试和二次开发。 首先,让我们深入了解UPX的工作原理。UPX...
linux upx-3.94 可执行程序(压缩可执行文件)
03-30
可用来压缩可执行文件和so等。 UPX 是一款先进的可执行程序文件压缩器 压缩过的可执行文件体积缩小50%-70% 这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用
易语言UPX编译自动加壳
07-23
开发者需要知道如何在易语言中执行外部命令,如调用UPX的命令行接口,指定输入文件(未加壳的程序)、输出文件(加壳后的程序)以及加壳参数。此外,为了使加壳过程更加智能,可能还需要获取程序的安装目录,以便将...
UPX编译自动加壳.rar
12-22
某些程序可能因为自身特性或者依赖性问题,在加壳后无法正常运行,因此在实际应用中需要进行充分的测试。 7. **安全与反调试**:虽然UPX本身不提供高级的反调试特性,但开发者可以通过其他手段结合UPX实现一定的...
使用x64dbg手动脱UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 1627
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
x64dbg手脱壳
CHUNJIUJUN的博客
10-24 3478
第一次比赛上体验手脱,记录一下,64位程序,x64dbg载入 断点里找入口,跟进去,423DC0是入口 F9让程序执行到这里 再F8,发现只有RSP寄存器的发生变化,符合ESP脱壳定律 在RSP这里右键,选择在内存窗口中转到 在内存窗口右键选择4字节的硬件断点 断点下好以后F9运行,跳到423FD5处,断在了几个pop之后 往下边看看,发现有一个大跳,在423FE5处下断点,F9运行过去然后F7 这里有一个点我比较疑惑,网...
微软x64常用汇编指令总结
小手琴师的博客
07-07 6234
这里写目录标题lea 直接读取有效地址值ret 函数返回xor 异或add 加法sub 减法inc 自增(increase)jmpcmpjneje lea 直接读取有效地址值 lea eax ,[1001H] lea作用是把 中括号里的值存入 寄存器里 把[1001H]里面的地址赋值给eax,也就是把1001H赋值给eax,执行之后的结果,是 eax = 1001H 等价于 mov eax , 1001H 通常做给c++指针赋值的时候使用这个指令,例如: int a = 3; // mov d
x64环境下_findnext()函数报错——0xC0000005: 写入位置 0xFFFFFFFFDF47C5A0 时发生访问冲突
紫金山赵火龙的博客
05-05 1146
最近在搞单目相机位姿估计,相机标定参考了【OpenCV3学习笔记 】相机标定函数 calibrateCamera( ) 使用详解(附相机标定程序和数据)提供的代码。 /* @param File_Directory 为文件夹目录 @param FileType 为需要查找的文件类型 @param FilesName 为存放文件名的容器 */ void getFilesName(string &...
如何下载upx并使用upx来为文件加壳
07-08
要下载并使用UPX来为文件加壳,您可以按照以下步骤进行操作: 1. 打开您的Web浏览器,访问UPX官方网站:https://upx.github.io/ 2. 在网站上找到并点击下载按钮,以获取适用于您操作系统的UPX可执行文件。UPX提供了Windows、Linux和MacOS版本。 3. 下载完毕后,将UPX可执行文件保存到您的计算机上一个方便的位置,例如您的桌面或一个单独的文件夹中。 现在您已经下载了UPX,接下来我们来看看如何使用它来加壳文件: 1. 打开命令提示符(Windows)或终端(Linux、MacOS)。 2. 切换到包含UPX可执行文件的目录。例如,如果您将UPX保存在桌面上的一个名为"upx"的文件夹中,您可以使用以下命令切换到该目录: ``` cd Desktop/upx ``` 3. 现在,您可以使用UPX命令行工具来加壳文件。以下是一个示例命令: ``` upx -o output.exe input.exe ``` 其中,"output.exe"是加壳后生成的文件名,"input.exe"是要加壳的原始文件名。 4. 运行命令后,UPX将会对输入文件进行压缩和加壳处理,并将输出文件保存为指定的名称。 请注意,加壳可能涉及到法律和道德问题,因此在使用UPX或任何加壳工具之前,您应该确保了解并遵守相关法律和规定。此外,加壳可能会引起某些杀毒软件的警报,因为它改变了文件的结构。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值