手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

最新推荐文章于 2016-05-20 17:40:15 发布
最新推荐文章于 2016-05-20 17:40:15 发布
阅读量2.5k 收藏
点赞数
分类专栏: Hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kong62/article/details/10513895
版权

刚在网上找了一个gh0st3.6,准备做下免杀,结果发现已经被加了一层万恶的壳子,真烦人啊。

peid查壳显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24-> Markus & Laszlo

手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog

 

 

OD载入:(ESP定律法)

004B5000 >$ 60           pushad
004B5001   BE 00004700  mov    esi,00470000                       //F8单步一下,走到这里记下右边寄存器窗口ESP:0012FFA4
004B5006  8DBE 0010F9FFlea    edi, dword ptr [esi+FFF91000]
004B500C  57           push   edi
004B500D  83CDFF      or     ebp, FFFFFFFF
004B5010   EB10        jmp    short 004B5022
004B5012     90           nop
004B5013     90           nop

F8单步一下,记下右边寄存器窗口ESP:0012FFA4,在最下方 Command 里面输入:hr0012FFA4,然后回车,再按一下F9,程序跳到这里:

004B51A7   8D442480    lea    eax, dword ptr [esp-80]
004B51AB   6A00        push                                                 //马上要循环了
004B51AD  39C4         cmp    esp, eax
004B51AF  .^ 75FA        jnz    short004B51AB                             //循坏了   
004B51B1  83EC80      sub    esp,-80                                       //F4跳到这里来
004B51B4   .- E990B1F7FF  jmp    00430349                             //大跳到程序入口点

004B51B9     00           db     00
004B51BA     00           db     00
004B51BB     00           db     00
004B51BC     00           db     00
004B51BD     00           db     00
004B51BE     00           db     00

继续F8,注意红色的那两行,构成一个循环了,江光标定位在004b51b1 ,连续按2次F4,再按两次F8到入口点

00430349   55             push   ebp                                                       //程序入口点
0043034A   8BEC           mov    ebp, esp
0043034C    6AFF          push    -1
0043034E    68E8764600    push   004676E8
00430353    683C014300    push   0043013C
00430358   64:A1 00000000 mov    eax, dword ptr fs:[0]
0043035E   50             push   eax
0043035F   64:89250000000>mov    dword ptr fs:[0], esp
00430366    83EC58        sub    esp, 58
00430369   53             push   ebx
0043036A   56             push   esi
0043036B   57             push    edi

 

 

OD载入:(堆栈平衡法)

004B5000 >$ 60           pushad                  //壳的入口

那么就必然会有 POPAD与之对称

右键-查找-命令-popad

手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog

查找之后来到这里:
                                                                                                         
004B51A6  61           popad                                                     //F2下断点,shift+F9重新运行程序
004B51A7    8D442480        lea        eax, dword ptr [esp-80]
004B51AB    6A00                push      0
004B51AD    39C4                  cmp        esp, eax
004B51AF    .^ 75FA                jnz        short 004B51AB
004B51B1    83EC80            sub        esp, -80
004B51B4    .- E990B1F7FF    jmp        00430349
004B51B9          00                      db          00
004B51BA          00                      db          00
004B51BB          00                      db          00
004B51BC          00                      db          00
004B51BD          00                      db          00
004B51BE          00                      db          00
 
呵呵,和上面的ESP脱的一样了吧,照着上面的继续脱掉.

 


 
kong62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动脱UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo+修复
学习........
11-30 1万+
[声明]:纯属技术交流[对象]:flyODBG查壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & LaszloOD载入.flyODBG,也就是对flyODBG脱壳,00581ED0 >  60                 pushad00581ED1    BE 00304F00        mov esi,flyODBG.004F3
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳
weixin_30517001的博客
08-22 933
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo这个壳很容易脱壳。当然,手动只是查找到脱壳的位置,然后用OD的插件即可脱壳了。下面举个CrackMes的实例,看下如何脱这个壳,使用的依旧是ESP定律的方法找OEP,程序入口点。(1)OD载入程序,会提示压缩或是加密或是嵌入程序等提示,问...
手脱UPX v0.89.6 - v1.02
weixin_30236595的博客
10-21 181
声明: 只为纪录自己的脱壳历程,高手勿喷 这个壳的脱法很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 00457170 > 60 pushad ; //入口 00457171 BE 00904300 mov esi,吾爱破解.00439000...
UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]脱壳后修复出问题
陈刚编程心得与知识集
02-17 2690
不管我用脱壳机或者自己脱的,都加载不起来,有自效验,重定位,附加数据,但是我都处理了的,自效验的地方我改了数据在DLL调用10000000的基址上不出问题了,但是其他程序上调用基址重定位了,但是就自动退出了,但是重定位我也处理了的,我就不知道是什么问题了,搞N久都搞不定,有没有大牛指点下。
手动脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
qingye
10-11 4246
手动脱壳  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 教程下载
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
最新发布
05-27
UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩工具、可执行文件加壳脱壳器,该程序的缺点是只能使用命令控制台运行。 .................. Free UPX简称FUPX,是专门针对UPX开发的图形窗口界面程序,...
UPX脱壳 程序
07-21
UPX脱壳 程序,这个程序很小巧,对绝大数的UPX壳都有很好的效果
UPX脱壳机,你们懂的
07-07
"UPX脱壳机"是专门用于解除UPX壳的工具,其工作原理是解析UPX打包的可执行文件结构,识别并移除UPX壳,暴露原始的二进制代码。这个过程通常被称为“脱壳”或“去壳”。脱壳机的使用对于安全研究人员和逆向工程师来说...
upxUPX-可执行文件的终极打包器
02-18
UPX(Ultimate Packer for eXecutables)是一个开源的、跨平台的可执行文件打包工具,它能够对程序进行压缩,从而减小文件的大小,提高分发效率。UPX支持多种操作系统和文件格式,包括Windows、Linux、FreeBSD、Mac ...
一款专用脱upx脱壳工具
06-10
UPX的壳可以用其自身命令脱: upx -d 文件名 但对于处理过的UPX壳,此命令就不好用了。这时,可以用upxfix工具来修复文件,再用unxfix自带的upx来脱。
upx 经典的压缩壳
01-09
upx。经典的压缩壳。但是比较早的版本了。开源,但是总没有找到源码
UPX Tool+ (upx加壳工具) 1.1.1 汉化绿色版
04-08
UPX Tool+ 是 UPX 的图形界面程式,便于操作 UPX 对可执行程序的压缩及解压缩,支持LZMA压缩引擎。 UPX Tool+ (upx加壳工具)汉化的特点: UPX脱壳工具,界面感觉很亲和力,简单明了。 原版程序存在3种语言,这里我把它剔除的,只留英文,顺便汉化下,屏蔽软件选项多国语言选择框。 并加入最新的UPX 3.08压缩引擎
UPX 1.24 BIN & SOURCE ...
02-23
超强的可执行程序压缩工具,包括 windows、linux、dos 三个版本和全部源码
专用UPX脱壳机加密解密
12-11
UPX脱壳机加密解密工具 UPX脱壳机加密解密工具
upx-3.96.zip
08-10
UPX(Ultimate Packer for eXecutables)是一个著名的开源、免费的可执行文件压缩工具,它能够对Windows、Linux、Mac OS等多平台的程序进行压缩,以减小程序的体积,提高加载速度。标题中的"upx-3.96.zip"表明这是一...
手工脱壳UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stu...
weixin_33982670的博客
06-03 375
为什么80%的码农都做不了架构师?>>> ...
UPX脱壳总结
热门推荐
fawdlstty的博客
12-19 1万+
我近期研究了一下UPX壳的脱壳方法,下面给出脱壳示例: UPX作为一款元老级PE加密壳,在以前的那个年代盛行,著名病毒【熊猫烧香】就是使用这款加密壳。 现在我们一起来脱UPX壳来揭开它的神秘面纱。 首先,PEiD载入含UPX壳的程序,结果如下: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 然后用OD载入,OEP如下:
手脱UPX壳的几种方法
xiaoyuai1234的博客
05-20 1万+
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
pyinstaller: error: ambiguous option: --upx could match --upx-exclude, --upx-dir
05-03
这个错误提示是因为在使用 PyInstaller 打包的时候,你使用了一个模糊的选项 `--upx`,而这个选项可能会匹配到多个选项,导致不明确。解决这个问题的方法是使用更具体的选项。 如果你想使用 UPX 压缩你的可执行文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值