X64dbg手动脱壳

已于 2024-08-28 17:27:21 修改
阅读量589 收藏 8
点赞数 18
文章标签: 数据库 安全 系统安全 网络安全 可信计算技术 安全威胁分析
于 2024-08-28 17:22:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulala987/article/details/141643955
版权

什么是壳

专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。

壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的元时代吗才开始被执行。

壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。

手动脱壳工具X64dbg

x64dbg是一款功能强大的Windows平台下的64位和32位程序调试器。

x64dbg官网地址:https://x64dbg.com/#start

我们需要了解一些基本指令

  • F2:设置断点。在调试过程中,用户可以在代码的特定位置设置断点,当程序执行到这些位置时会暂停,以便用户进行详细的检查和分析。
  • F7:单步步入。执行当前指令,并进入被调用的函数内部。这有助于用户深入了解函数的执行流程。
  • F8:单步步过。执行当前指令,但不进入被调用的函数内部。如果用户只想关注当前函数或代码块的执行流程,这个选项会非常有用。
  • F9:运行程序。如果当前没有设置断点或程序已经暂停在某个断点处,按F9将继续执行程序直到遇到下一个断点或程序结束。
  • Ctrl+F9:执行到函数返回处。这个快捷键允许用户跳过当前函数的剩余部分,直接返回到函数调用的下一条指令处。
  • Alt+F9:执行到用户代码。这个快捷键用于快速跳出系统函数或库函数,以便用户能够专注于自己的代码部分。
  • Ctrl+G:快速定位到指定地址。用户可以输入一个十六进制地址,然后按Ctrl+G跳转到该地址处进行调试。

例题

把exe文件拖入x64dbg

pushad意味着upx壳解压缩代码的入口。

PUSHAD是一个x86汇编指令,用于将当前程序的所有通用寄存器(EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI)的值依次入栈。PUSHAD指令压入32位寄存器,其堆栈指针SP将加32。

但是这个程序是一个64位的。64位程序中没有puahad,而是用几个push汇编代码替代

按F9到达该断点,最好可以都按几次,可能有其他断点

F8单步执行,观察右上角RSP是否有变化

ESP定律指的是,当观察到ESP(或RSP)寄存器的值在调试过程中变红,意味着程序执行流程中有重要的栈操作发生。

为了定位程序后续执行的关键点,可以定位ESP(或RSP)当前指向的内存地址,并在此地址上设置一个硬件断点。打一个硬件断点后,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)

操作过程

点击RSP 从内存窗口中转到

右击栈顶,选中断点,选择硬件访问断点,选择4字节。

打好断点后 F9运行

这里发现下面有一个比较大幅度的jmp跳转,并且已经显示文件特征。

并且通常E9表示入口,判断jmp指令会跳转到OEP。

选中jmp指令 按下F4 运行到此处 F4键的功能是“运行到光标处”

之后按下F8步过成功跳转到OEP

脱壳结束

这就正式进入了原程序,可以进行dump了

dump

启动插件

先进行dump

但是dump后的文件是无法执行的,所以我们要修复文件

文件修复

先点击 IAT Autosearch

再点击 Get Imports ,在 Imports 列表中右键delete删掉带有红叉的。

最后再fix dump

得到最终的exe文件成功去壳 可以在ida里运行

得到最终的flag

溜啦啦
关注
  • 18
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x64dbg脱壳
CHUNJIUJUN的博客
10-24 3689
第一次比赛上体验手脱,记录一下,64位程序,x64dbg载入 断点里找入口,跟进去,423DC0是入口 F9让程序执行到这里 再F8,发现只有RSP寄存器的发生变化,符合ESP脱壳定律 在RSP这里右键,选择在内存窗口中转到 在内存窗口右键选择4字节的硬件断点 断点下好以后F9运行,跳到423FD5处,断在了几个pop之后 往下边看看,发现有一个大跳,在423FE5处下断点,F9运行过去然后F7 这里有一个点我比较疑惑,网...
如何用x64dbg UPX手动脱壳(64位)
Pisces50002的博客
12-23 1317
先点“IAT Autosearch”,再点“Get Imports”,在“Imports”中删除掉带有红色叉叉的,再点击“Dump”,之后“Fix Dump”选中之前的Dump文件,修复成功。XP后的系统都有ASLR(地址空间随机化),导致dump后程序运行出错,因此我们首先用CFF Explorer修改该文件的Nt Header,禁用ASLR。如果想把字符串展开看,可以(退到IDA View-A中)修改Segment,取消w勾选。F9运行到断点处,看到下面的jmp大跳应该是入口,设置断点,F9跳过去。
使用x64dbg手动脱UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 1758
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
关于手动脱壳分析及方法总结
Yyx260019的博客
07-24 768
单步跟踪法的原理就是通过Ollydbg的单步(F8)、单步进入(F7)和运行到(F4)功能,完整走过程序的自脱壳过程,跳过一些循环恢复代码的片段,并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后,到达OEP,并dump程序。
x64dbg 自动化控制插件
CSDN
10-31 8303
一款 x64dbg 自动化控制插件,通过Python控制x64dbg的行为,实现远程动态调试,解决了逆向工作者分析程序,反病毒人员脱壳,漏洞分析者寻找指令片段,原生脚本不够强大的问题,通过与Python相结合利用Python语法的灵活性以及其丰富的第三方库,加速漏洞利用程序的开发,辅助漏洞挖掘以及恶意软件分析。插件下载好以后,请将该插件复制到x64dbg的plugins目录下,程序运行后会自动加载插件。当插件加载成功后,会在日志位置看到具体的绑定信息以及输出调试,该插件并不会在插件栏显示。
一个实用的x64dbg脚本
weixin_52006998的博客
05-22 847
不然学不会空吐槽的,只能证明自己是真的笨了。好比就是组装好的零件或有相应功能的盒子,用时去调用,执行之后,它会告诉你成功了,或失败了。上面说了表达式,接下来就得说说格式化字符串了(其实它这个翻译的不好,正常编程习惯该是反过来翻译才对啊)学不好,不是因为人笨,而是因为你不会下棋,不懂全局观、不会自问自答、创造问题,解决问题。//msg {a1$+1} 得到2 //msg {$result} //正确。还得有酱油、盐、香油、水、一只大碗、味精、蒸锅。复制试试,看看就好,用时抄抄,就这么简单,想多了,你就输了。
x64dbgpy 自动化控制插件AIP手册
CSDN
03-25 8255
一款 x64dbg 自动化控制插件,通过Python控制x64dbg的行为,实现远程动态调试,解决了逆向工作者分析程序,反病毒人员脱壳,漏洞分析者寻找指令片段,原生脚本不够强大的问题,通过与Python相结合利用Python语法的灵活性以及其丰富的第三方库,加速漏洞利用程序的开发,辅助漏洞挖掘以及恶意软件分析
记一次没遇到过的UPX脱壳
hanxuer_的博客
06-04 1872
关于壳的介绍见CTF-WIKI 这里就不多赘述了 拿到我们的程序,先查看 64位upx壳,首先直接upx -d试一下,结果是失败报错提示下图 (一开始也有怀疑过是不是版本不兼容的问题,后来尝试高版本还是兼容低版本的) 然后想尝试手脱,打开x64dbg,单步下去直接跑飞了,重新载入,想看看f7能否跟进,结果发现第一个指令是一个jmp指令,遂失败 搜索这个报错无果,问了师傅,可能是upx非标准格式,找到了一篇文章 链接如下: https://www.52pojie.cn/thread-326995-1-1.
RE入门之脱壳——手脱UPX壳
weixin_45986910的博客
08-14 3287
很多加了壳的软件是很难逆向分析的,需要手脱。下面以UPX壳为例简单介绍一下如何手动脱壳 需要工具:x64dbg。 拿到程序以后使用x64dbg打开。
零起点教你手动脱壳tuoke
06-15
3. **动态分析**:使用调试器(如OllyDbg或x64dbg)附加到运行中的程序,观察壳如何加载和执行。通过设置断点,我们可以找出壳的解密和跳转点。 4. **静态分析**:在代码层面分析壳的解密逻辑。这可能涉及理解壳的...
脱壳基础第一课 脱壳基础第一课
08-11
3. **动态分析**:通过调试器(如OllyDbg或x64dbg)进行程序运行时的分析。动态分析允许观察程序的实际行为,包括解密过程和函数调用,这对于理解壳的工作原理极其重要。 4. **常见壳类型**:介绍常见的壳技术,如...
攻防世界 Windows_Reverse2
weixin_53349587的博客
03-13 798
这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!! 查壳发现有aspack壳: 根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开: 首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置 继续往下执行,一直到地址为0x726425的ret指令执行完: 看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转..
MySQL 相关知识笔记
weixin_68929783的博客
08-23 1511
以上是根据 B 站黑马课程学习后的 MySQL 笔记,为了日后复习和给别人参考而整理,希望对大家有所帮助。同时,在实际应用中,还需要根据具体情况合理使用索引、约束等功能,以提高数据库的性能和数据的完整性。
汉服文化平台网站
heye0910032的博客
08-26 354
本文主要探讨了使用Java语言开发汉服文化平台网站的全过程。系统采用B/S架构,严格遵循软件开发流程,从分析、设计到实现,确保了项目的系统性和科学性。系统主要面向管理员和用户两大类使用者,提供了包括首页、个人中心、汉服知识管理、服装展示管理、用户相册管理、论坛交流、系统管理、订单管理等功能。本系统的应用,旨在实现汉服文化信息管理的信息化,提高管理效率,方便用户访问和交流。通过本毕业设计,我深入学习并实践了Java语言和SSM框架在Web开发中的应用。
修复数据库中的 “Access Denied: SUPER Privilege Required” 错误
xiaochong0302的博客
08-26 334
当您使用数据库时,您可能会看到错误消息:“Access denied; you need (at least one of) the SUPER privilege(s) for this operation”。当您的数据库用户没有足够的权限来执行某些操作时,就会发生这种情况。
python12 中,No module named‘distutils‘错误
qq_43557600的博客
08-27 693
python12 “ No module named'distutils' ”,​ 安装 pip install setuptools ,解决 ​
(1)Hilt的基本概念和使用
最新发布
challenge51all的专栏
08-27 398
Jetpack Hilt 是一个强大的依赖注入框架,它简化了 Android 应用中的依赖管理,提高了代码的可维护性和可测试性。通过使用注解和模块,开发人员可以轻松地管理应用中的依赖关系,并在不同的组件之间共享和注入依赖。在应用的 Application 类上使用这个注解,告诉 Hilt 这是一个使用 Hilt 进行依赖注入的应用。Jetpack Hilt 是一个用于 Android 的依赖注入框架,它建立在 Dagger 的基础上,旨在简化 Android 应用中的依赖注入过程。
笔记redis
风止的博客
08-22 1201
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值