学习记录—几种脱壳方法:

最新推荐文章于 2024-04-13 10:48:47 发布
最新推荐文章于 2024-04-13 10:48:47 发布
阅读量122 收藏
点赞数
分类专栏: 网络安全 文章标签: 学习 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_zhangwuji/article/details/131756448
版权

一、

1、Peid识别到区段表符合upx壳的特征
在这里插入图片描述

2、尝试找OEP入口点,尾部跳转指令 jmp or return (一串无效字节前最后一条有效指令,脱壳存根指向OEP)。这里发现了尾部跳转指令(寻找过程不理会向上跳转的)
在这里插入图片描述
3、Ida无法识别尾部跳转,一般会标记错误
在这里插入图片描述
4、F2下断点 执行过来
在这里插入图片描述
5、F8单步步过 发现了oep(如果无法识别右键 分析—>分析代码)
在这里插入图片描述
6、右键dump debugged process,设置下入口点 然后dump
在这里插入图片描述
7、直接打开improt rec,选择对应进程,修改oep,单击iat自动搜索
在这里插入图片描述
8、获得输入信息->修复抓取文件
在这里插入图片描述
二、

1、peid识别到fsg1.0壳子
在这里插入图片描述
2.使用插件定位OEP
在这里插入图片描述
三、

1、Peid识别到pecompact1.68壳子
在这里插入图片描述
2、Pushfd pushad 用于保存所有寄存器和标志位信息。跳转到oep之前再恢复所有信息,可以在栈上下硬件断点尝试定位。
在这里插入图片描述
3、运行到call处,右键esp在数据窗口中跟随
在这里插入图片描述
4、选中前四个字节下硬件访问断点
在这里插入图片描述
5、执行且F8
在这里插入图片描述
在这里插入图片描述
附:

esp红色说明栈顶值有更改
在这里插入图片描述

f_zhangwuji
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓逆向学习笔记之FART中的脱壳点.docx
03-25
5. **openCommon 脱壳点**:此外,文档中还提到了一个名为`openCommon`的脱壳点,这可能指的是在多个场景下通用的一种脱壳方法,但具体实现细节需要进一步研究。 #### 五、脱壳点的优劣判断 判断一个脱壳点的好坏...
查壳、加壳、脱壳详细教程
m0_59856804的博客
11-15 6573
查壳、加壳、脱壳详细教程 PEID工具的使用 UPXShell工具的使用
对一个加壳的可执行文件进行脱壳三种方法
任浩的博客
02-03 1807
1、自动静态脱壳:通过一些脱壳工具即可,相当于解压缩,最为方便快捷 2、自动动态脱壳:运行可执行文件,让脱壳存根的的文件脱出原始的可执行文件。 3、手动脱壳:找到加壳算法程序,自己分析源程序进行脱壳。 ...
PEID0.95脱壳
谢绝留言与私信
10-09 1283
前言手里PEID是52pj版的, 想看看PEID算法扫描插件调用时的函数调用, 应该就是标准的DoMyJob函数,不过还是想看看. 原版PEIDFrom52Pj是加壳的, 有UPX段,应该是UPX压缩壳, 准备手脱.调试记录PEID脱壳EP004982B0 > 60 pushad 004982B1 BE 00404600 mov esi,PEiD.0046
PE文件的简单加壳和脱壳(UPX和PEiD)
qq_29566629的博客
02-12 3745
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件。 加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,
*** PEid插件——Generic OEP Finder 原理分析 ***
老裴
07-31 2075
***    PEid插件——Generic OEP Finder 原理分析    ***   PEid的这个小插件用了很久了,一直觉得功能不错,准确率也挺高的,自己在写壳的过程中也曾尝试避开其检测,但一直没有成功,于是抽了些时间看看它的实现原理,这才恍然大悟。   下面是这个插件的一级输出函数:10001870 ; Exported entry   1. DoMyJob1000187010001
安卓逆向学习笔记之Dalvik下dex加载流程和通用脱壳点.docx
03-21
### 安卓逆向学习笔记之Dalvik下dex加载流程和通用脱壳点 #### Dalvik环境下DEX文件的加载流程 在深入理解Android应用程序的工作原理时,了解Dalvik虚拟机如何加载和执行DEX(Dalvik Executable)文件是至关重要的...
安卓逆向学习笔记之ART下dex加载流程和通用脱壳点.docx
03-22
### 安卓逆向学习笔记之ART环境下DEX加载流程与通用脱壳点解析 #### 一、概述 本文档旨在深入探讨安卓应用在ART(Android Runtime)环境下的DEX文件加载流程,并结合具体案例分析常见的脱壳点。对于从事安卓逆向...
单步跟踪法脱壳.zip
09-12
综上所述,单步跟踪法脱壳是一种深度技术,涉及多方面的知识,包括调试技术、逆向工程原理、PE文件结构分析等。通过使用像dump.exe这样的调试工具,配合ExeinfoPe和ImportREC这样的辅助工具,以及单步跟踪法.txt中...
Gh0st1.0 Alpha 脱壳
03-20
在分析Gh0st1.0 Alpha脱壳版时,我们可能会关注以下几个方面: 1. **代码结构与流程**:通过逆向工程,可以解析出程序的执行流程,了解其如何感染系统、建立通信通道以及执行远程命令。 2. **通信协议**:分析Gh0...
逆向入门-脱壳学习第一课-手脱upx壳
qq_40712579的博客
03-25 684
首先使用peid查壳 可以看见壳为UPX 然后打开od。 使用单步跟踪法。(只允许向下的跳转,不允许向上的跳转) 点击单步运行,单步向下调试。 如果遇见向上的跳转,就在其下方使用f4设置断点,然后接着运行, (注意:如果此时下方为call代码,就在call代码的下方再设置断点。) 之后,跳到如图所示,为push ebp,即找到入口段 接下来便可以开始脱壳了,三种方法:...
CrackMe020:脱壳 + DarkDe分析
可乐松子的博客
05-25 470
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.程序基本信息2.脱壳方法 1.PEiD通用脱壳方法 2.OllyDump脱壳3.DarkDe分析4.IDA分析5.验证结果6.参考 1.程序基本信息 程序输入验证没有提示信息,猜测应该是输入序列号后会生成注册码,当注册码等于3E74984B时,逆向才算成功 查壳可以看到,有一个WWPac
免杀|PEiD查壳、脱壳+汉化+工具打包
SurpassLi的专栏
04-08 52
一、加壳 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是隐藏程序真正的OEP(入口点,防止被破解,查壳就是为了找它),类似于动物界的龟壳。大多数病毒就是基于此原理。 加壳可以绕过一些杀毒软件的扫描(免杀) 加壳工具通常分为:压缩壳和加密壳两类。 压...
upx手动脱壳学习笔记
sirrior的博客
11-24 1505
2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。
逆向(2)-脱壳--upx壳(1)
小心信科理化声
03-03 547
题材来自于52pj。
怎么用upx脚本脱壳
Nike_name的博客
09-19 167
用upx脱壳
通过手动给upx去壳简单了解逆向
A_991128a的博客
08-27 2413
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
upx脱壳(最简单方法之一)
最新发布
2301_80820096的博客
04-13 1142
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳方法
upx命令行脱壳
m0_74148881的博客
07-28 2313
try upx.exe -d
APP脱壳实战:阿里CTF案例解析
通过这16讲的APP脱壳实战课程,学习者不仅可以了解脱壳的基本步骤,还能掌握如何在实际环境中运用这些技能,对提升移动应用的安全分析和逆向工程能力具有极大的帮助。此外,课程还提供了讲师互动、课后交流和资料...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值