脱壳基础

最新推荐文章于 2022-12-06 13:02:29 发布
最新推荐文章于 2022-12-06 13:02:29 发布
阅读量943 收藏 1
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hurricane_0x01/article/details/51895138
版权
本文介绍了脱壳的基本步骤,包括定位OEP(原程序入口点)、使用内存断点确定OEP、使用OllyDump和LordPE进行Dump以及使用Import REConstructor修复IAT。通过ESP定律和内存断点技巧定位OEP,接着通过Dump工具生成脱壳文件,并详细阐述了如何修复导入表以使程序正常运行。
摘要由CSDN通过智能技术生成

脱壳的基本流程分四步走:查壳 -> 定位OEP -> 进程内存镜像dump -> 修复IAT. 

1.     定位OEP

1.1  ESP定律(栈平衡)

使用UPX对计算器calc.exe进行加壳。

OD载入,如下:


第一条指令PUSHAD表示将所有通用寄存器值压栈,这些值即代表原程序加壳前的值,在壳运行完成后,需要借助栈恢复这些值,程序转到OEP,原程序才能正常执行。

F8向下走一步,此时ESP的值为压栈后的值:


对该ESP值下硬件断点:HW 0007FFA4

F9运行程序,程序将中断在上述硬件断点,此时表示程序要访问原来压栈的数据,也就是说壳运行基本结束,此时正试图恢复栈内容,运行原程序,因此OEP也就离这不远了。

最低0.47元/天 解锁文章
小黑话不多
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳基础学习视频大全内容
05-06
脱壳基础学习视频大全内容
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1757
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
寻找OEP
ruins44的博客
05-24 1285
对于加了壳的软件,要寻找其OEP(Origin entry pointer)入口点的时候,该如何去寻找 1.根据跨段指令去寻找OEP 绝大多数加壳程序在被加密的程序中加上一个或多个区块,这个可以使用PEID软件去查看相应的区段(section)。 这个方法的思路是:一般是跟踪软件,一直跟踪,然后看起跨段指令,最后得出OEP。 加壳程序的入口点代码如下。 一直跟踪就能跟出外壳程序,
脱壳常见问题
tooyoungtosimple的博客
07-26 359
脱壳常见问题: 内存dump之后图标无显示, 资源文件不见了? 产生原因: 内存中的数据大小大于文件中的大小, 导致dump时, 将资源节数据后移, 而原始的资源节的指针还是指向之前的位置, 此时的数据为0. 解决方案: 修改资源节的指针指向资源数据往下移动后的位置, 或者删除多余的数据, 将资源节的数据剪切到原始位置. 内存dump的时机, 程序停在OEP后进行dump, 程序能够...
OllyDbg消息断点(unable to read memory of debugged process...)
hustd10的博客
12-25 4004
在OllyDbg给窗口设置消息断点的时候遇到unable to read memory of debugged process...错误,无法设置xi
一次PEDIY---修改Windows自带的calc.exe (Unable to read memory of debugged process......”错误提示)
kendyhj9999的专栏
12-30 3299
标 题: 【原创】一次PEDIY---修改Windows自带的calc.exe 作 者: stalker 时 间: 2008-07-08,11:06:15 链 接: http://bbs.pediy.com/showthread.php?t=68066 【文章标题】: 一次PEDIY---修改Windows自带的calc.exe 【文章作者】: stalker 【作者邮箱】: zh
脱壳基础教程.zip
01-22
脱壳基础教程.zip
脱壳入门基础
07-15
脱壳入门基础 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来...
脱壳基础知识入门
01-07
脱壳基础知识入门
UPX单步脱壳
最新发布
qq_49341576的博客
12-06 1294
使用OD脱UPX壳
PE文件格式的RVA概念
04-14 1322
我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2564
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
脱壳基础
hercs的博客
03-05 536
1.ESP定律od打开程序,单步,当观察到右边寄存器窗口中仅有ESP变红时(一般是push或者pushad指令执行时),鼠标放在ESP后面的地址上,右键,点击HW break[ESP].然后f9运行,中断后单步,当有一处较大跳转时,则对应入口点。原理:脱壳过程中要保持堆栈平衡。2.两次内存镜像法od打开程序后,alt-m打开内存窗口,在资源段(.rsrc)右键,设置内存访问断点,f9运行,中断后,...
破解入门(四)-----实战"单步跟踪法"脱壳
系统运维
06-10 590
背景 破解的第一步是判断所要破解的程序是否加壳了,如果程序加壳了,需要将壳脱掉再来破解,所以脱壳是破解的第一步 单步跟踪法的步骤 (1)用OD载入,点“不分析代码” (2).单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现(通过F4) (3)遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选) (4)绿色线条表示跳...
脱壳操作
吖吖狼 的专栏
03-26 2439
常规操作: 1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在push ebp代码处)。 2、生成转存文件:打开LordPE,选中程序的进程,右键“修正镜像大小”,然后右键“完整转存”,输入文件名,保存。此步也可用OD自带的插件进行,在代码区右键“用OllyDump脱壳调试进程”,此外如果勾选了“重建输入表”,后面就不需要再用ImportREC修正输入表了,如果不勾选,则需要进入第3步
调试UPX压缩的notepad
weixin_30347009的博客
11-30 198
@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 note...
脱壳基础篇——常用六操作
摔不死的笨鸟的博客
12-09 817
本文适合入门级别脱壳选手学习,可以作为方法总结笔记。目录如下: 1.DUMP方法 2.ESP定律的本质 3.二次内存镜像方法 4.搜索命令法 5.模拟跟踪法之SFX 1.DUMP方法 在OD中提供两种方式进行脱壳,点击重建输入表。对于一些简单的壳来说,一般都会直接成功。 5.模拟跟踪法之SFX法 该方法缺点是速度有点慢,但是比较省事儿。是使用块方式跟踪,还是字节方式跟踪,要视情况而定。 这里...
入门指南:揭秘脱壳技术与PE格式的重要性
本文将深入探讨脱壳基础知识,针对当前软件加密趋势下的挑战,帮助理解并掌握这一关键技术。首先,介绍PE格式,作为Windows平台上最常用的可执行文件格式,对PE(PortableExecutableFileFormat)的理解是脱壳入门的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值