逆向基础:脱壳技术

最新推荐文章于 2022-04-21 20:40:00 发布
最新推荐文章于 2022-04-21 20:40:00 发布
阅读量364 收藏
点赞数
分类专栏: CTF比赛解析备课与教学 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm19770429/article/details/121333993
版权

一些术语的备忘录

区块的对齐值
有两种对齐值,一种用于磁盘文件内,另一种用于内存中。
在PE文件头里,FileAlignment定义了磁盘区块的对齐值。200h,512
SectionAlignment定义了内存中区块的对齐值。1000h,4K
应用程序加载映射示意图

外壳加载示意图:

 寻找OEP

OEP是程序的原始入口点,一个正常的程序只有EP,只有入口点被修改的程序(加壳等),才会拥有OEP

根据跨段指令寻找OEP:手动跟踪


用内存访问断点寻找OEP

外壳先将压缩的代码解压并释放到对应的区块上,处理完毕再跳转到代码段执行。

按“ALT+M”组合键打开内存模块,对代码段(.text)按F2设置内存访问断点。


根据栈平衡原理寻找OEP

在编写加壳软件时,必须保证外壳初始化的现场环境〔各寄存器值)与原程序的现场环境是相同

加壳程序在初始化时保存各寄存器的值,待外壳执行完毕恢复各寄存器的内容,最后跳转到原程序执行。

 

花纵酒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一篇(基础知识)
Winter_Zero的博客
12-27 1395
什么是的作用是什么? 简单举个例子:鸡蛋 “ 鸡蛋 ” 也是,其作用就是保护里面的蛋白和蛋黄。 “ 软件上的 ” 本质上就是代码,但是我们形象的称之为。其作用就是保护程序,确切的说是隐藏OEP( 原始入口点 ) 在吃鸡蛋的时候,我们要做的第一件事,就是“ ”。 同样的,“ 软件上的 ”也是类似的,程序在运行的时候,首先就是运行的代码(程序自己给自己)。 那么怎么辨别...
关于几种常用的方法总结
xiaoyuai1234的博客
05-04 9499
最近一直在学习的破解,和大家分享一下几种常用的方法 1.esp定律 使用PEID查,了解的属性 载入OD,F8单步运行,注意寄存器的窗口 这个时候会发现只有ESP后面对应得数据为红色,我们就应该知道,可以使用ESP定律了,单击红色的ESP右键会出现HW break esp的选项 然后重载运行,单击F8,到达OEP,然后使用OD自带的插件 (oep的标志)you
第一课时(上):破解基础之常见无程序语言特征
Kevin's Blog
07-24 1505
学习整理源自:吾爱破解 https://www.52pojie.cn/thread-234739-1-1.html 一、程序由何种语言编写 国内比较流行的编译器有VC、易语言、.NET、Delphi, 曾经用但很少的有:VB、ASM、BC++ 一些比较少的有:Autolt、PB、QT等 二、各开发语言区别【无】 2.1 VC6 编译无程序: EP区段信息: VC6 入口点代码...
PE 文件区段:.text .data .idata .rdata
LYSM
07-22 8489
通常,一个 PE 文件中有 4 个区段: .text:(代码段),可读、可执行 .data:(数据段),存放全局变量、全局常量等 .idata:(数据段),导入函数的代码段,存放外部函数地址。(当然还有 edata ,导出函数代码段,但不常用) .rdata:(数据段),资源数据段,程序用到什么资源数据都在这里(包括自己打包的,还有开发工具打包的) ...
手动教程
热门推荐
weixin_44032972的博客
05-21 1万+
一、什么是?         是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、的加载过程 1、保存程序入口参数         加程序初始化时保存各个寄存器的值(用堆栈),外执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
基础第一课 基础第一课
08-11
请注意,为了遵守法律法规和道德规范,学习技术应仅用于合法的逆向工程和安全研究,而非支持恶意活动。 总之,"基础第一课"是一门旨在帮助新手进入逆向工程和恶意软件分析领域的课程,通过理论结合实践,...
基础知识入门电子书(技巧)
07-20
总的来说,《基础知识入门》电子书为初学者提供了一个全面了解和学习技术的平台,通过学习,读者不仅可以掌握的基本概念和技术,还能提升对计算机安全和逆向工程的理解,对于从事相关工作的专业人士或者...
单步跟踪法.zip
09-12
单步跟踪法逆向工程中的一个重要技术,它涉及到对可执行程序的深入理解和调试技巧。在本文中,我们将详细探讨这个主题,并结合给定的文件资源进行阐述。 首先,我们需要理解什么是""。,或者称为反...
Reversing:逆向工程揭密
06-21
一点儿也不,我写这本书的目的就是向你讲解并示范平常就可以用于解决各种各样问题的逆向工程技术。 不过我总是急于求成。也许你以前没有接触过软件逆向工程的概念,我在这里先简要介绍一下。 逆向工程和底层软件 在...
awesome-reverse:awesome-逆向基础入门,包括JS、安卓APPNative
04-28
简介 主要总结个人学习逆向相关所遇到的一些技术知识点和路径,因为逆向这个技术栈没有系统的规划路径,所以想要将工作中所遇到的和面试到的一些相关知识总结,面向逆向新人...安卓加固历代发展及对应技术 ARM
exe文件步骤txt下载
01-07
步骤 步骤 的概念: 所谓“”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的的作用: 1.保护程序不被非法修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测的软件 PEID v0.92 这个软件可以检测出 450种 新版中增加病毒扫描功能,是目前各类查工具中,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的 下面进行 步骤2 对一个加了的程序,去除其中无关的干扰信息和保护限制,把他的去,解除伪装,还原软件本来的面目。这个过程就叫做成功的标志 后的文件正常运行,功能没有损耗。 还有一般后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的软件进行,由于软件的机理不通,出来的文件大小也不尽相同。 关于有手动和自动 自动就是用专门的 很简单 按几下就 OK了 手动相对自动 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的 不过它的机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符中输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外软件 UPX SHELL v3.09 UPX 外程序! 目的让UPX的傻瓜化 注:如果程序没有加 那么我们就可以省去第二步的了,直接对软件进行分析了。 完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户中的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or
技术技术技术技术
11-29
关于技术的学习 希望对大家有用技术技术技术
逆向学习1-[技术]/篇1
m0_52343643的博客
04-21 2564
是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 的分类 分为压缩和加密 压缩 压缩主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩有:Upx、ASpack、PECompat 加密 加密应用有多种防止代码逆向分析的技术,用该的PE文件会比原文件大很多,有时恶意程序也用加密来降低杀毒软件的扫描 常见的加密有:ASProtector、Armadillo、EXECryptor、T.
peid逆向记录
03-21 4320
【文章标题】: peid逆向记录【文章作者】: layper【作者邮箱】: layper2002@yahoo.com.cn【作者主页】: www.sy135.com【下载地址】: 自己搜索下载【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!----------------------------------------------------------------------
代码段 .text
a13824673949的博客
05-07 219
  根据操作系统的不同,编译器,编译选项的不同,同一文件不同函数的代码在内存代码区中的分布可能相邻,也可能相离甚远,可能先后有序,可能无序 但,它们都在同一个 PE文件的代码 映射的一个 “节” 里。   我们可以简单把它们在内存代码区中的分布位置理解成是散乱无关的。 CPU是从哪里获得 函数的调用及返回的信息的呢? 这些代码区中精确的跳转都是在与 系统栈 巧妙地...
方法总结
宗泽的博客
06-09 9380
一、单步跟踪法   的方法有很多,先来讲方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
的机制以及技术
weixin_41487541的博客
04-12 2073
0 的概念 是用来保护计算机软件不被非法修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码; 由于能保护自身代码,许多木马和病毒都喜欢用来保护及隐藏自身; 对于一些流行的,杀毒引擎能先对目标软件进行,再进行病毒检查。对大多数私人,杀毒软件不会专门开发解压引擎,而是直接把当成木马或病毒来处理; 处于不同的目的,可以分为压缩(减小软件的体积)
[破解]小结
独步清风
11-23 3858
首先什么是 作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3.在黑客界给木马等软件加以躲避杀毒软件。 的分类: 压缩和加密 如何分辨加密和压缩,通用特点,O

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值