upx壳的一些简单脱壳,望大牛勿喷。

最新推荐文章于 2024-05-01 01:14:39 发布
最新推荐文章于 2024-05-01 01:14:39 发布
阅读量1.4w 收藏 5
点赞数 3
分类专栏: 加密解密 文章标签: 软件加密 压缩解压缩 源代码 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dubuqingfenggzy/article/details/16881607
版权

下面是我的脱壳。

手动脱壳

1.ESP定律法查看通用寄存器ESP,数据窗口跟踪。F8单步步入,F4禁止向上跳转

2.单步跟踪法F8单步跟踪,遇CALL F7进入。直到到达OEP,经过多次F8,F4终于到达OEP了,恒大的第三课的跳转好多,逢向上的跳转,用F4

3.脚本脱壳法这个不需多说了。

4.软件脱壳法,此法完美脱壳,win7 x64下测试通过,正常运行,并且区段无upx0upx1

5.一步到达oep法,前辈总结的经验。查找POPAD,不要勾选整个块。向下走几步。就可以到达oep,适用于部分壳。POPAD 出栈。

6.内存镜像法,经过两次调用内存,然后在.risc处下断点,最终到达OEP内存   .rsrc    下断    shift+F9     运行再内存CODE(资源)下断再执行出来单步跟

以上方法,除了用脱壳机以外,用ollydump脱壳调试进程,用方式一(在内存镜像中搜索JMP[API]CALL[API])重建输入表,后会提示,如下图,可能与我x64有关。

如果用方式二(在脱壳文件中搜索DLL&API名称)的话,会提示

还有种方式Lordpe完,重建输入表,我没配置好工具,吾爱专版的不会用,未测试。

peid查壳后,发现ep

最低0.47元/天 解锁文章
魔翼使者
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UPX逐一跟踪分析
qq_50536062的博客
03-07 820
UPX逐一跟踪分析写在前面OD跟踪命令先结合PE知识分析分析“新年快乐.exe” 写在前面 之前看到的UPX文章都只是教了方法,对UPX的原理少有提及。看了《逆核》的UPX一章后,俺尝试把UPX与PE文件结构的知识结合起来整理了一些(也可联系压缩器Paker的知识)。 分析样本来自BUUCTF:Reverse题目“新年快乐”(本文将寻找样本的OEP) OD跟踪命令 可能会用到的几个跟踪命令: 命令 快捷键 作用 Animate Into Ctrl+F7 反复执行Step In
UPX-加--官方工具-逆向分析
插件开发
11-30 4085
UPX工具能够极大的压缩可执行文件,对于可执行文件的网络传播,确实效果不错。
【CTF Reverse】XCTF GFSJ0490 simple-unpack Writeup(UPX++反汇编)
最新发布
HEX9CF的技术博客
05-01 427
菜鸡拿到了一个被加的二进制文件。
逆向(2)---upx(1)
小心信科理化声
03-03 545
题材来自于52pj。
CrackMe032:UPX+keyfile+DarkDe+Process Monitor
可乐松子的博客
05-28 646
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.+基本分析DarkDe分析2.KeyFile破解KeyFile基础知识破解本程序3.注册界面破解step 1.DarkDe分析按钮事件step 2.OK按钮分析step3 .4个序列号事件step 3-1.Edit处理的框架step 3-2.关键函数分析step 3-3.验证4.注册
upx(最简单方法之一)
2301_80820096的博客
04-13 1115
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行即可)首先拖入到od中,找到程序的入口点。首先使用快速的方法。
UPX
02-26
UPX的“加”过程就是将原始程序包裹在UPX里面,而“”则是去除这个外,恢复原始程序的原始状态。 UPX技术主要基于两种方式:压缩和映像注入。压缩方式是将原始程序的数据压缩,然后在运行时解压到...
UPX压缩加密
06-06
UPX压缩加密机,界面简洁清晰好用。
UPX工具源码
08-14
2. **机制**:工具的核心在于正确地解压UPX并恢复原始的未压缩PE文件。源码可能会包含解压算法,根据UPX的压缩格式进行还原。 3. **内存操作**:由于程序可能已经在内存中运行,工具可能需要在内存中...
upx机--用于upx
02-05
在Windows环境下,"upx机"作为一个简单工具,提供了用户友好的图形用户界面(GUI),使得操作更为直观和方便。使用者无需深入了解复杂的命令行参数或逆向工程原理,只需通过点击几下鼠标,即可完成对目标...
upx
10-03
"upx机"则是专门用于去除这些UPX的工具,它可以帮助分析人员揭示被UPX压缩的程序的真实内容,以便进行病毒分析、逆向工程或其他安全研究。 HA_UPXShell342_x_chenmy.exe 是一个可能的UPX机程序,由chenmy...
UPX工具.exe
01-15
可以用这个工具UPX加过的exe可执行程序....................................
一款专用upx工具
06-10
UPX可以用其自身命令: upx -d 文件名 但对于处理过的UPX,此命令就不好用了。这时,可以用upxfix工具来修复文件,再用unxfix自带的upx
upx环境和工具包
01-23
upx开始学习upx的加后和源程序,OD中的Ollydump以及可以用来DUMP程序的PETools,还有重建IAT的Import REC工具。给自己提供个打包的upx,也给大家提供个学习的环境配置 也可以直接从OllyDbg从零开始学习下载
BUGKU -- MountainClimbing
The end
04-21 669
将程序拖入IDA后,显示upx 并且使用官网自带的upx失败
upx教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 2341
逆向常见的upx,如何手,怎么去手upx
UPX的几种方法
热门推荐
xiaoyuai1234的博客
05-20 1万+
最近在研究各个方法,有些心得,和大家分享一下如何手UPX 我们的流程是 PEID查 得知的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
破解入门(五)-----实战"ESP定律法"
系统运维
06-10 628
ESP定律法的步骤 ESP定理(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
PEiD中unUPX.dll(UPX unpacker)插件的逆向分析笔记
08-20 1299
 就是试试逆向,找了个10多KB的,不会太花时间也不会没劲.第一次搞逆向,没什么经验,也不知到底该做到什么程度,不足之处请见谅,多多指教.Exports中有三个函数,LoadDLLDoMyJobDllEntryPoint其中LoadDLL是返回此DLL于PEiD中的名称,如下 代码:char* __stdcall LoadDLL (){  return "Unpacker fo
upx1一键工具
07-31
UPX1一键工具是一种能够自动解压缩使用了UPX1的可执行文件的工具。UPX1是一种常用的文件压缩工具,它能够显著减小可执行文件的体积,使其在传输和存储时更加高效。 使用UPX1一键工具可以方便地将使用了UPX1压缩的可执行文件解压缩回原始状态,方便进行进一步的分析和修改。这个工具提供了简单易用的界面,用户只需要选择待解压的文件,点击一键按钮,工具就会自动进行解压缩操作,并生成一个解压后的可执行文件副本。 通过使用UPX1一键工具,用户可以方便地获取UPX1压缩文件的原始版本,以便进行代码分析、漏洞挖掘等操作。这对于软件开发人员、安全研究人员以及反病毒软件开发者等来说是非常有价值的。 UPX1一键工具的优势在于其操作简单、快捷,并且能够批量处理多个文件。它能够提高工作效率,节省用户的时间和精力。 总之,UPX1一键工具是一种能够自动解压缩UPX1可执行文件的工具,具有简单易用、快速高效等特点。它在软件开发、安全研究和反病毒软件开发等领域具有重要的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值