UPX脱壳(2)

最新推荐文章于 2023-05-25 17:21:03 发布
最新推荐文章于 2023-05-25 17:21:03 发布
阅读量227 收藏
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/79137193
版权

很多壳是没法用Ollydump弄好的,所以需要用其他的工具


这里的工具是:PETools和Import REConstructor

先按照UPX脱壳的方法,找到OEP

现在已经到达了OEP

用PETools来实现程序的DUMP


找到对应的程序,完整转存,保存好久可以运行了~~~



但是,当我们换个版本的PETools~

dump成功后,运行程序

程序竟然报错了~~~

(论工具的重要性)


这个时候就需要用到Import REC了

首先在程序里找到IAT的位置


先点击自动查找IAT,获取输入表

然后手动检查下:OEP应该是00001000(相对偏移RVA)

3180是IAT的RVA

然后一直往下看,查看IAT的大小

所以终点是3290(UPX是最简单的壳,IAT是存在同一个地方的,很多高级壳IAT可能有错误,也可能存在不同的地方,需要一段一段处理)

所以SIZE = 0x3290 - 0x3180 = 0x110


然后看一眼输入表函数信息,有没有无效的

点击转储到文件(刚才的DUMP文件)


这时候还是报错,我们需要再使用一次PETools


选择Rebuild PE,选中刚才的DUMP文件


再执行程序,发现可以正常运行了~~~


附上实验的程序和工具~

OD可以从52pojie或者看雪下载咯~

Flying_Fatty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单脱壳教程笔记(2)---手脱UPX壳(1)
oBuYiSeng的博客
03-18 1万+
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%
upx脱壳
10-03
"upx脱壳机"则是专门用于去除这些UPX壳的工具,它可以帮助分析人员揭示被UPX压缩的程序的真实内容,以便进行病毒分析、逆向工程或其他安全研究。 HA_UPXShell342_x_chenmy.exe 是一个可能的UPX脱壳机程序,由chenmy...
脱壳基础教程
Aquarius_ego的博客
05-29 6872
软件脱壳相关介绍
upx工具脱壳
Cfoxer的博客
05-25 2706
1.exeinfope查下壳upx壳无疑2.官方工具脱壳:https://github.com/upx/upx/releases使用命令upx.exe -d。
UPX-加壳-脱壳-官方工具-逆向分析
插件开发
11-30 4094
UPX加壳工具能够极大的压缩可执行文件,对于可执行文件的网络传播,确实效果不错。
使用upx脱壳工具脱壳
热门推荐
qq_53532337的博客
09-30 1万+
使用upx脱壳工具脱壳 查壳工具链接:https://www.52pojie.cn/thread-437586-1-1.html 脱壳工具链接:https://github.com/upx/upx/releases 先查壳 一般做到逆向的部分题的时候,把文件丢进ida会发现函数特别少,大部分都是加壳了(以攻防世界新手区第7题为例链接:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0) ida打开只
upx脱壳机--用于upx脱壳
02-05
"upx脱壳机"则是专门针对UPX压缩的程序设计的一款工具,旨在帮助用户剥离UPX外壳,恢复原始的未压缩代码。 在Windows环境下,"upx脱壳机"作为一个简单的脱壳工具,提供了用户友好的图形用户界面(GUI),使得操作...
UPX加壳脱壳
02-26
2. **安全性**:虽然UPX本身是合法的工具,但其加壳技术可能被滥用,因此,某些杀毒软件可能会误报加壳后的程序为病毒或恶意软件。 3. **脱壳技巧**:脱壳过程需要谨慎,错误的操作可能导致程序损坏。使用"UPX Easy ...
free upx 脱壳工具
最新发布
09-07
使用UPX脱壳工具时,必须确保你有权处理目标文件,并且了解相关法律法规。对未经授权的程序进行脱壳可能涉及侵犯版权法,因此在实际操作中需谨慎行事。 综上所述,"Free UPX"是一个功能强大的免费工具,可以帮助...
UPX脱壳工具源码
08-14
7. **逆向工程应用**:对于安全研究人员或逆向工程师来说,理解UPX脱壳的实现有助于深入研究恶意软件的行为和防护策略。 8. **教育价值**:该源码可以作为教学材料,帮助学习者理解加壳与脱壳的基本原理,以及...
不忘初心
ACdream
01-18 1064
2016,不忘初心
CTF-RE baleful (pin打桩+虚拟机+upx脱壳
SuperGate的博客
07-21 1554
本文部分借鉴文章:https://firmianay.gitbooks.io/ctf-all-in-one/src/writeup/6.2.5_re_picoctf2014_baleful#%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99 首先查看文件信息 supergate@ubuntu:~/Desktop/task1$ file baleful baleful: ...
UPX脱壳详细分析
keilsi的专栏
11-16 5003
文章标题】: UPX脱壳详细分析 【文章作者】: index09 【使用工具】: UPX + OD + Stud_PE + Import REC -------------------------------------------------------------------------------- 【详细过程】 又被R公司鄙视了,每次都被相同的理由鄙视。哭…… 于是决定好好学一下逆向了。 首先做个幼儿级的脱壳练习,当做开始吧。 网上有很多类似文章,基本只写了找OEP的过程,这里稍加分
UPX脱壳总结
fawdlstty的博客
12-19 1万+
我近期研究了一下UPX壳的脱壳方法,下面给出脱壳示例: UPX作为一款元老级PE加密壳,在以前的那个年代盛行,著名病毒【熊猫烧香】就是使用这款加密壳。 现在我们一起来脱UPX壳来揭开它的神秘面纱。 首先,PEiD载入含UPX壳的程序,结果如下: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 然后用OD载入,OEP如下:
UPX脱壳
ACdream
01-23 4086
UPX脱壳
WINDOWS网络API总结
ACdream
06-16 2914
一:WinSock APIWSAStartup,getaddrinfo,socket,connect,send,recv,WSAGetLastError二:WinINet APIInternetOpen:初始化一个应用程序,以使用 WinINet 函数InternetConnect:建立 Internet 的连接,成功返回非0。如果返回0。要InternetCloseHandle释放这个句柄Int...
FSG脱壳
ACdream
01-25 1263
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
恶意代码分析实战Lab1
ACdream
01-25 1126
0101分析 这里可以查看到时间戳 如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的 接着使用IDA对代码进行简单的静态分析 先分析DLL: OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限 这里可以看到恶意代码服务端的IP地址:127.26.152.
恶意代码分析实战Lab0301
ACdream
01-28 946
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
upx脱壳工具2018
06-24
UPX脱壳工具是一款用于解密并还原被UPX壳包装的程序的工具。UPX是一种非常流行的免费开源压缩工具,许多黑客使用它来保护自己的恶意代码。为了解决这个问题,开发人员开发了UPX脱壳工具,它可以反向工程UPX壳,使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值