脱壳总结之 - upx,aspack, FSG,PECompact2.X,WinUpack脱壳

最新推荐文章于 2024-07-24 15:14:29 发布
最新推荐文章于 2024-07-24 15:14:29 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 安全 逆向 文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cs840610862/article/details/87927164
版权

1. 单步执行法

  1. OD加载程序,F8单步步入程序,向上返回的要按键F4跳转到向上返回的下一句语句
  2. 特征代码是 popad , 执行下一句语句,会有一个很大的跳转,执行次跳转语句,即会进入压缩程序的真正入口
  3. 右键点击 用OD脱壳调试进程,下面有方式一和方式二,任选一种,点击脱壳,保存到文件夹

2. 使用工具 - LoadPE

  1. 打开目标程序的进程
  2. 右键修正镜像大小
  3. 右键完整转存

3. 命令查找法(upx,aspack)

  1. 查找命令popad
  2. 参考单步执行法

4. esp定律法

  1. 单步执行一步
  2. 选择ESP的数值,右键数据窗口中跟随
  3. 数据窗口中选中ESP的数值,设置硬件访问断点
  4. 直接运行,断点处就是要跳转到程序真正入口的jmp语句
  5. 单步执行,进入真正的入口

5. 两次内存镜像法

  1. 打开查看内存窗口,或点击快捷键M进入内存查看
  2. 在 .rsrc 处(一般是第一个)设置访问断点,并运行至断点处
  3. 在 .text 处(一般是第一个)设置访问断点,并运行至断点处
  4. 接着线下就能进入真正的入口

6. 模拟跟踪(aspack压缩壳可用)

  1. 打开内存查看窗口,找到第一个 .aspack 区段, 记录最前面的地址为addr(区段可以是对应壳的名字)
  2. tc eip<addr,此方法很慢

7. SFX

  1. 打开 选项 - 调试设置
  2. 点击SFX,选中块方式跟踪真正入口处
  3. 点击重新运行程序
  4. 注意:此方法不一定准确

8. 手动修复IAT

  1. 通过OD找到脱壳后的程序入口
  2. 随便找一个call的地址addr,OD使用命令 d addr,向上滚动,一直到上面的地数值都是0000 0000,记录当前 addr1
  3. 然后向下滚动, 一直到下面都是0000,记录当前地址 addr2
  4. 打开 Import Reconstructor软件,在IAT的RVA填入addr1-基址,size填入addr2-addr1(或者直接填1000)
  5. 点击无效函数,右键剪切
  6. 转存到文件
    OD的数值窗口打开方法,数据窗口中,右键 - 长型 - 地址

9. 最后一次异常法;

  1. 打开OD选项,选择异常,取消勾选所有异常。

  2. 记录跑飞次数 n

  3. 找SE句柄,即第 n-1 处

  4. 转到SE xxxx处下断点,sheft+F9后单步调试

10. BP VirtualFree

  1. BP VirtualFree,下断点
  2. SHIFT+F9,取消断点SHIFT+F9,取消断点
  3. ALT+F9
  4. 查找 push 8000(特征码),并运行到这
  5. 单步跟

11. bp VirtualAlloc

  1. bp VirtualAlloc 下断点
  2. SHIFT+F9运行SHIFT+F9运行
  3. 取消断点
  4. ALT+F9
  5. 向下拉,看到JMP。运行到这

12. at GetVersion

  1. at GetVersion 下断点
  2. 单步调

13. 条件断点脱壳(WinUpack)

在大跳转的代码处,程序不一定会直接跳转到入口处(比如FSG壳),会有很多次循环才会跳转到入口处,因为程序要建立输入表,此时可以看大跳转上面的一句判断语句

  1. 单步执行,然后,有一个大跳转,不会跳转
  2. 该跳转上面有一句test eax, eax
  3. 到跳转到真正入口处下条件断点 eax==0,也可能是地址([eax]==0)
  4. 下面很多循环都是在重建输入表

14. 附加数据处理

工具为 HexWorkshop

  1. 使用HexWorkshop,在原 exe 程序中寻找要附加的数据(从最后往前找,一直到全部为0的地方)
  2. 从找到的第一个不为0的地方开始,按住sheft键,一直复制到最后
  3. 使用HexWorkshop打开脱壳后的 exe 程序
  4. 在数据的最后粘贴复制的数据
  5. 另存为exe文件到文件夹
最亮的心
关注
专栏目录
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 640
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方法是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
简单脱壳教程笔记(11) --- 脱WinUpack加的壳
oBuYiSeng的博客
04-16 2809
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 加条件断点的方法 1、加载程序后,使用单步进行,运行到0043e645处,发现此处是跳转到OEP的但是 跳转没有实现 2、在0043e645处添加条件断点,只要e
手动脱WinUpack 壳实战
07-15
手动脱WinUpack 壳实战的分析文档和脱壳后程序,这个脱壳程序是吾爱破解练习第6题,比较简单。
逆向分析学习入门教程(非常详细)零基础入门到精通,看这一篇就够了!_逆向都要学啥
最新发布
小司机的奥拓
07-24 1510
jnz的十六进制码为75,jz的十六进制码为74,只需将可执行程序中的75改为74就可以。\n”压入栈,供printf函数使用,在反汇编程序代码中,如果调用的函数有参数,都是先将函数的参数先用push指令压入栈中,例如:add(int a,int b),调用add函数前,先将参数a和b压入栈,根据 __cdecl调用规则,先push b,再push a,最后再调用add函数。java,c,c++,C#,pascal,python,lisp,prolog,FoxPro,易语言等等 均属于高级语言。
35. 脱壳篇-UPXWinUpack压缩壳的使用和脱法
墨痕诉清风的博客
03-08 1503
UPX官网:http;//upx.sourceforge.net UPX加壳 通过cmd窗口执行,进入upx目录,执行: upx.exe fishc.exe 或者直接将exe拖至upx.exe上即可 UPX脱壳 upx -d abc.exe 如果作者在导入表等地方修改的话,这种方式就不可以脱壳了,因为他自己都不认识自己了 一般情况下,加壳的程序均为 pushad ...
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
万能脱壳机 QUnpack.
07-30
万能脱壳机可以快速脱一些常见的壳,如:UPX, ASPack, FSG, MEW, PE Diminisher, PECompact, PE-PACK, PackMan, WinUPack 等等。拥有较小的体积和非常快的速度。
RL!dePacker
03-01
thanks to ap0x Generic unpacker support 92 packers aUS [Advanced UPX Scrambler] 0.4 - 0.5 ASPack 1.x - 2.x AHPack 1.x AlexProtector 1.x ARMProtector 0.x BJFNT 1.3 ...
全自动脱壳机九哥专版
04-02
用以快速脱一些常见的壳,如:UPX, ASPack, FSG, MEW, PE Diminisher, PECompact, PE-PACK, PackMan, WinUPack,等等。本程序尝试绕过所有可能的加密器/混淆器以实现脱壳的目的
脱壳示例,包括PEid、PECompact、ASPack_Unpacker、UpxUnpacker等工具
03-12
脱壳示例程序,包含三个加了不同壳的示例程序,以及相应的解壳工具。 查壳工具:PEiD 解壳工具: PECompact、ASPack_unpacker、UpxUnpacker 适合想学习加壳解壳的初学者。
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
常见加壳软件 及脱壳工具
热门推荐
蜂刺
11-03 1万+
1.程序编写语言: 常见的程序制作语言有: Borland Delphi 6.0 - 7.0 Microsoft Visual C++ 6.0 Microsoft Visual Basic 5.0 / 6.0 还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 一些脱壳工具:http://down.52pojie.cn/Tools/Unpa
攻防世界 simple-unpackUPX脱壳初探
qq_39592869的博客
05-27 2404
目录 0x01 “壳”what? 0x02 加壳的目的和作用 0x03 常见壳介绍 0x04 查壳 0x01 “壳”what? 计算机软件中有一段专门负责保护软件不被非法修改或反编译的程序。他一般都先于程序运行,拿到控制权限,完成保护软件的任务。就像鸡蛋的壳一样起到保护蛋黄和蛋白的作用,基于命名的规则于是这样的程序就成为“壳”了。 加壳的过程实际上是将可执行程序压缩,并包上一层特殊的程序,这里类似于zip、rar压缩包,但是不同的是加壳过的EXE文件依然是是可执行文件,它可以同正常的EXE文件
壳学习一:PECompact 2.x 加壳脱壳
禾苗雨的专栏
02-06 3095
壳学习一:PECompact 2.x 加壳脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-51、加壳过程自动动手编写一个简单的窗体程序NullForm.exe。使用PECompact2.7加壳(按默认选项),生成已加壳程序NullFormPe.exe.原始文件与加
UPXWinUpack压缩壳的使用和脱法 - 脱壳篇06
weixin_33860147的博客
08-30 268
UPXWinUpack压缩壳的使用和脱法- 脱壳篇06 让编程改变世界 Change the world by program 今天小甲鱼给大家介绍两款压缩壳:UPXWinUpackUPX是时下最流行的压缩壳之一,因为它的压缩效率和稳定性都是比较不错的,另外一点呢他是开源的,小甲鱼在这节课的源代码下载处,提供了UPX的源代码给大家研究一下,它是用C++写成的。 .....
逆向脱壳实训 #3 多途径脱PECompact
weixin_48066554的博客
01-18 509
逆向脱壳实训 #3 多途径脱PECompact 文章目录逆向脱壳实训 #3 多途径脱PECompact环境 & 工具查壳脱壳方法1、单步手脱2、ESP定律3、BP VirtualFree4、BP VirtualAlloc5、最后一次异常法 使用多种方法进行 环境 & 工具 win xp系统 吾爱破解版ollydbg PEiD 查壳 脱壳方法 1、单步手脱 单步运行至此call时,如果f8,程序会直接开始运行,所以运行至此处时单击f7跟进 继续单步,至此call同样会开始运行,继续f7
八种方法脱PECompact壳
Lorezon的博客
06-30 1398
注:文中涉及到的方法、例子等均来源于52pojie社区,学习过程中总结方便以后阅读 方法一:单步跟踪 F8跟进,遇到跑飞的Call就F7进入 遇到sysenter也会跑飞,同样F7进入,之后单步跟,即可找到OEP 方法二:ESP定律法 单步跟进,发现右侧ESP突变,数据窗口跟随,然后硬件访问>word 运行,之后删除硬件访问,之后单步跟进 方法三:下BP VirtualFree断点(一次运行) 下断点后Shift+F9运行,来到这里 之后F2取消断点,然后Alt+F9执行到用户代码 然后搜索
pyinstaller: error: ambiguous option: --upx could match --upx-exclude, --upx-dir
05-03
这个错误提示是因为在使用 PyInstaller 打包的时候,你使用了一个模糊的选项 `--upx`,而这个选项可能会匹配到多个选项,导致不明确。解决这个问题的方法是使用更具体的选项。 如果你想使用 UPX 压缩你的可执行文件,你可以使用 `--upx-dir` 选项来指定 UPX 的路径,而不是 `--upx` 选项。例如: ``` pyinstaller --upx-dir=/path/to/upx myscript.py ``` 如果你想排除某些文件或目录,你应该使用 `--upx-exclude` 选项。例如: ``` pyinstaller --upx-exclude=/path/to/excludedir myscript.py ``` 希望这个解释能够帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值