手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

最新推荐文章于 2023-08-09 20:32:56 发布
最新推荐文章于 2023-08-09 20:32:56 发布
阅读量2.6k 收藏
点赞数
分类专栏: Hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kong62/article/details/10513895
版权

刚在网上找了一个gh0st3.6,准备做下免杀,结果发现已经被加了一层万恶的壳子,真烦人啊。

peid查壳显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24-> Markus & Laszlo

手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog

 

 

OD载入:(ESP定律法)

004B5000 >$ 60           pushad
004B5001   BE 00004700  mov    esi,00470000                       //F8单步一下,走到这里记下右边寄存器窗口ESP:0012FFA4
004B5006  8DBE 0010F9FFlea    edi, dword ptr [esi+FFF91000]
004B500C  57           push   edi
004B500D  83CDFF      or     ebp, FFFFFFFF
004B5010   EB10        jmp    short 004B5022
004B5012     90           nop
004B5013     90           nop

F8单步一下,记下右边寄存器窗口ESP:0012FFA4,在最下方 Command 里面输入:hr0012FFA4,然后回车,再按一下F9,程序跳到这里:

004B51A7   8D442480    lea    eax, dword ptr [esp-80]
004B51AB   6A00        push                                                 //马上要循环了
004B51AD  39C4         cmp    esp, eax
004B51AF  .^ 75FA        jnz    short004B51AB                             //循坏了   
004B51B1  83EC80      sub    esp,-80                                       //F4跳到这里来
004B51B4   .- E990B1F7FF  jmp    00430349                             //大跳到程序入口点

004B51B9     00           db     00
004B51BA     00           db     00
004B51BB     00           db     00
004B51BC     00           db     00
004B51BD     00           db     00
004B51BE     00           db     00

继续F8,注意红色的那两行,构成一个循环了,江光标定位在004b51b1 ,连续按2次F4,再按两次F8到入口点

00430349   55             push   ebp                                                       //程序入口点
0043034A   8BEC           mov    ebp, esp
0043034C    6AFF          push    -1
0043034E    68E8764600    push   004676E8
00430353    683C014300    push   0043013C
00430358   64:A1 00000000 mov    eax, dword ptr fs:[0]
0043035E   50             push   eax
0043035F   64:89250000000>mov    dword ptr fs:[0], esp
00430366    83EC58        sub    esp, 58
00430369   53             push   ebx
0043036A   56             push   esi
0043036B   57             push    edi

 

 

OD载入:(堆栈平衡法)

004B5000 >$ 60           pushad                  //壳的入口

那么就必然会有 POPAD与之对称

右键-查找-命令-popad

手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog

查找之后来到这里:
                                                                                                         
004B51A6  61           popad                                                     //F2下断点,shift+F9重新运行程序
004B51A7    8D442480        lea        eax, dword ptr [esp-80]
004B51AB    6A00                push      0
004B51AD    39C4                  cmp        esp, eax
004B51AF    .^ 75FA                jnz        short 004B51AB
004B51B1    83EC80            sub        esp, -80
004B51B4    .- E990B1F7FF    jmp        00430349
004B51B9          00                      db          00
004B51BA          00                      db          00
004B51BB          00                      db          00
004B51BC          00                      db          00
004B51BD          00                      db          00
004B51BE          00                      db          00
 
呵呵,和上面的ESP脱的一样了吧,照着上面的继续脱掉.

 


 
手动脱UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo+修复
学习........
11-30 1万+
[声明]:纯属技术交流[对象]:flyODBG查壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & LaszloOD载入.flyODBG,也就是对flyODBG脱壳,00581ED0 >  60                 pushad00581ED1    BE 00304F00        mov esi,flyODBG.004F3
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳
weixin_30517001的博客
08-22 984
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo这个壳很容易脱壳。当然,手动只是查找到脱壳的位置,然后用OD的插件即可脱壳了。下面举个CrackMes的实例,看下如何脱这个壳,使用的依旧是ESP定律的方法找OEP,程序入口点。(1)OD载入程序,会提示压缩或是加密或是嵌入程序等提示,问...
手脱UPX v0.89.6 - v1.02
weixin_30364147的博客
10-21 449
声明: 只为纪录自己的脱壳历程,高手勿喷 这个壳的脱法很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 00457170 > 60 pushad ; //入口 00457171 BE 00904300 mov esi,吾爱破解.00439000...
手动脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
qingye
10-11 4303
手动脱壳  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 教程下载
UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]脱壳后修复出问题
陈刚编程心得与知识集
02-17 2763
不管我用脱壳机或者自己脱的,都加载不起来,有自效验,重定位,附加数据,但是我都处理了的,自效验的地方我改了数据在DLL调用10000000的基址上不出问题了,但是其他程序上调用基址重定位了,但是就自动退出了,但是重定位我也处理了的,我就不知道是什么问题了,搞N久都搞不定,有没有大牛指点下。
linux 软件脱壳机,关于UPX脱壳后程序无法运行
weixin_29164497的博客
05-06 2035
如何实现upx脱壳(请详细说明步骤和软件)?upx 关于脱壳的命令格式如下:upx -d 要脱壳的文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了啊D壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Marku...
UPX脱壳 程序
07-21
UPX脱壳 程序,这个程序很小巧,对绝大数的UPX壳都有很好的效果
20202413 2021-2022-2 《网络与系统攻防技术》实验四实验报告
weixin_51198288的博客
04-05 882
感谢前人栽树
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
最新发布
05-27
UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩工具、可执行文件加壳脱壳器,该程序的缺点是只能使用命令控制台运行。 .................. Free UPX简称FUPX,是专门针对UPX开发的图形窗口界面程序,...
UPX脱壳机,你们懂的
07-07
一款强力的UPX脱壳机,好东西不多解释。如果出现使用问题或者交流脱壳技术的话,可给我发邮件541977545@qq.com
专用UPX脱壳机加密解密
12-11
UPX脱壳机加密解密工具 UPX脱壳机加密解密工具
upx 经典的压缩壳
01-09
upx。经典的压缩壳。但是比较早的版本了。开源,但是总没有找到源码
UPX 1.24 BIN & SOURCE ...
02-23
超强的可执行程序压缩工具,包括 windows、linux、dos 三个版本和全部源码
手工脱壳UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stu...
weixin_33982670的博客
06-03 405
为什么80%的码农都做不了架构师?>>> ...
手脱UPX壳的几种方法
热门推荐
xiaoyuai1234的博客
05-20 1万+
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
170624 逆向-失败的脱壳
whklhhhh的博客
06-25 662
1625-5 王子昂 总结《2017年6月24日》 【连续第265天总结】 A. 脱壳前瞻 B. 明天考试于是基本都在复习高数 拽了一个?难度的CrackMe试试,拖入PEiD发现第一次遇到壳 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d
脱壳系列_1_UPX壳_详细版
leibso的博客
07-30 1766
1 UPX壳的背景知识 UPX壳的功能有两种:给程序加壳、压缩程序 简述:将程序压缩(体积变小),在每次程序运行执行时实时的对程序解压缩。upx和普通的压缩区别就在于实时性 2 查看带壳程序信息 使用PeID查看 使用ExeInfoPE查看 分析: 使用两个PE分析工具可以看出入口点是 0X0006DFF8...
CTF REVERSE练习之脱壳分析
小司机的奥拓
08-09 838
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
pyinstaller: error: ambiguous option: --upx could match --upx-exclude, --upx-dir
05-03
这个错误提示是因为在使用 PyInstaller 打包的时候,你使用了一个模糊的选项 `--upx`,而这个选项可能会匹配到多个选项,导致不明确。解决这个问题的方法是使用更具体的选项。 如果你想使用 UPX 压缩你的可执行文件,你可以使用 `--upx-dir` 选项来指定 UPX 的路径,而不是 `--upx` 选项。例如: ``` pyinstaller --upx-dir=/path/to/upx myscript.py ``` 如果你想排除某些文件或目录,你应该使用 `--upx-exclude` 选项。例如: ``` pyinstaller --upx-exclude=/path/to/excludedir myscript.py ``` 希望这个解释能够帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值