简单脱壳教程笔记(2)---手脱UPX壳(1)

最新推荐文章于 2024-07-30 00:59:51 发布
最新推荐文章于 2024-07-30 00:59:51 发布
阅读量1.8w 收藏 20
点赞数 11
分类专栏: 壳相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/obuyiseng/article/details/50925774
版权
这是一篇关于如何手动脱去UPX壳的详细教程,介绍了四种脱壳方法:单步跟踪、ESP定律法、2次内存镜像法和一步直达法。教程中提供了基础视频教程的下载链接,以及所需工具的下载地址。在单步跟踪法中,重点讲解了如何在OD中寻找OEP位置并进行脱壳操作,最后通过LordPE和ImportREConstructor进行修复和验证脱壳是否成功。
摘要由CSDN通过智能技术生成

       本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。

       ximo早期发的脱壳基础视频教程 下载地址如下:          

 http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z


        本笔记用到的工具下载地址:

http://download.csdn.net/detail/obuyiseng/9466056

      简介:

          UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。

    

     脱壳:

     工具:

               ExeinfoPE或PEid、OD、LordPE、ImportREConstructor

     脱壳文件:

               01.rmvbfix.exe

      

     笔记:

         1、使用ExeinfoPE或PEid确定是否加壳
最低0.47元/天 解锁文章
布衣僧
关注
专栏目录
简单脱壳教程笔记(3)---手脱UPX(2)
oBuYiSeng的博客
03-18 5896
我们接着上一篇   ”简单脱壳教程笔记(2)---手脱UPX(1)“继续。我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式。         方法2:ESP定律法             ESP是我们的是一个寄存器,当程序使用pushad命令入栈的时候,只会让esp突变,根据堆栈平衡的原则,我们就可以找到OEP了。
VMP脱壳教程 BY Nooby
08-05
VMP手动脱壳教程,由Nooby大牛制作
exeinfo pe工具介绍和基本使用
菜鸟-宇的个人博客
10-02 4795
这个工具可以查看区段和EP设相当于一个查子的工具。它是一种类PEiD查程序,至今依然被更新,使它拥有鉴定相当多文件类别的能力,其整合丰富了PEiD的签名库。一、软件简介 Exeinfo PE是一款专业的程序查工具,主要用户帮助用户查看EXE DLL文件的编译器信息、是否加、入口点地址、输出表 输入表等等PE信息,这款查工具还支持提取PE文件中的相关资源,Exeinfo PE无需安装是一款不错的查工具。
UPX:究极打包利器
最新发布
lyndon
07-30 1793
UPX 的主要优点在于,它不仅可以大幅度减少文件体积,还能保持可执行文件的运行速度,几乎不影响程序的启动时间。
OD手脱UPX
qq_39153421的博客
07-27 320
OD手脱UPX用OD脱壳的方法有很多:ESP定律,内存镜像法,等等可参看:https://1094093288.github.io/2018/07/25/DROPS%E7%AC%AC%E4%BA%8C%E5%91%A8%E5%91%A8%E4%B8%89/#more今天我用ESP定律脱带的程序,用PEID查一下: UPX,拖进OD开始脱壳: 1.先单步F7, ...
脱壳基础教程
Aquarius_ego的博客
05-29 7291
软件脱壳相关介绍
upx命令行脱壳
m0_74148881的博客
07-28 2573
try upx.exe -d
UPX脱壳
ACdream
01-23 4112
UPX脱壳
简单脱壳教程笔记
A powerful and unconstrained style
08-18 8548
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.upx是一种保护程序。 脱壳: 工具: ExeinfoPEPEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPEPEid确定是否加 2、脱壳
Linux 下 Upx 脱壳笔记 - 黑白网络.htm
04-19
Linux 下 Upx 脱壳笔记 - 黑白网络.htm
脱壳教程第1-4篇
12-26
脱壳教程第1-4篇
著名的脱壳工具的使用教程
11-03
用于反汇编程序的脱壳软件的使用教程,适用于32位与64位的程序
脱壳教程笔记用到的工具和程序
03-18
http://blog.csdn.net/oBuYiSeng/article/category/6140987中的 简单脱壳教程笔记 用到的工具和程序
android 脱壳视频教程
09-27
首先,查,使用PEID或者是FI,为UPX v1.08 接下来用OD载入,提示为“压缩代码是否继续分析”,我们选择否 我在这里介绍几种方法,请看我的操作。 方法1:单步跟踪(最常见的方法) 0040E8C0 N> 60 pushad //停在这里了,我们F8单步 0040E8C1 BE 15B04000 mov esi,NOTEPAD.0040B015 0040E8C6 8DBE EB5FFFFF lea edi,dword ptr ds:[esi+FFFF> 0040E8CC 57 push edi 0040E8CD 83CD FF or ebp,FFFFFFFF 0040E8D0 EB 10 jmp short NOTEPAD.0040E8E2 //跳 。。。。。。。。。。 0040E8E2 8B1E mov ebx,dword ptr ds:[esi] //跳到这里,继续单步 0040E8E4 83EE FC sub esi,-4 0040E8E7 11DB adc ebx,ebx 0040E8E9 ^ 72 ED jb short NOTEPAD.0040E8D8 //这里要往回跳了 0040E8EB B8 01000000 mov eax,1 //F4,然后继续F8 0040E8F0 01DB add ebx,ebx 0040E8F2 75 07 jnz short NOTEPAD.0040E8FB //跳 。。。。。。。。。。。 0040E8FB 11C0 adc eax,eax //来到这里,F8继续 0040E8FD 01DB add ebx,ebx 0040E8FD 01DB add ebx,ebx 0040E8FF ^ 73 EF jnb short NOTEPAD.0040E8F0 0040E901 75 09 jnz short NOTEPAD.0040E90C //跳 。。。。。。。。。。。 0040E90C 31C9 xor ecx,ecx //跳到这里,继续F8 0040E90E 83E8 03 sub eax,3 0040E90E 83E8 03 sub eax,3 0040E911 72 0D jb short NOTEPAD.0040E920 //跳 。。。。。。。。。。。 0040E920 01DB add ebx,ebx //跳到这里,继续F8 0040E922 75 07 jnz short NOTEPAD.0040E92B //跳 。。。。。。。。。。。 0040E92B 11C9 adc ecx,ecx //跳到了这里,继续F8 0040E92D 01DB add ebx,ebx 0040E92F 75 07 jnz short NOTEPAD.0040E938 //跳 。。。。。。。。。。。 0040E938 11C9 adc ecx,ecx //跳到这里,继续F8 0040E93A 75 20 jnz short NOTEPAD.0040E95C //跳 。。。。。。。。。。。 0040E95C 81FD 00F3FFFF cmp ebp,-0D00 //来到这,继续F8 0040E962 83D1 01 adc ecx,1 0040E965 8D142F lea edx,dword ptr ds:[edi+ebp] 0040E968 83FD FC
软件脱壳详细教程+工具
10-07
软件脱壳详细教程+工具,是一个很强大的脱壳工具!让你自己去感受,脱去外的感觉
upx3.94手动脱壳
海阔天空
07-15 5115
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx,使用ESP定...
简单脱壳教程笔记(1) --- 常见语言的入口点
oBuYiSeng的博客
03-18 2359
的分类:压缩、加密      常见语言的入口点: VB: 004012D4 >  68 54474000     push QQ个性网.00404754 004012D9    E8 F0FFFFFF     call 004012DE    0000            add byte ptr ds:[eax],al 004012E0    0000
手动脱壳教程
热门推荐
weixin_44032972的博客
05-21 1万+
一、什么是?         是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、的加载过程 1、保存程序入口参数         加程序初始化时保存各个寄存器的值(用堆栈),外执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
pyinstaller: error: ambiguous option: --upx could match --upx-exclude, --upx-dir
06-02
这个错误是因为 `pyinstaller` 命令中同时存在多个以 `--upx` 开头的选项,导致无法确定具体要使用哪一个选项。其中可能是 `--upx-exclude` 或 `--upx-dir` 等。 解决方法是明确指定要使用的选项,例如使用 `--upx-dir` 选项指定 UPX 压缩程序所在的目录,或使用 `--noupx` 选项禁用 UPX 压缩。具体使用哪个选项需要根据你的需求来决定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值