*** PEid插件——Generic OEP Finder 原理分析 ***

最新推荐文章于 2023-07-16 22:50:25 发布
最新推荐文章于 2023-07-16 22:50:25 发布
阅读量2k 收藏
点赞数
分类专栏: 加密解密 文章标签: subroutine c cmd api 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pll621/article/details/441683
版权
本文详细分析了PEid插件Generic OEP Finder的实现原理,该插件通过读取PE文件映象并扫描特定语言的入口特征码来找到OEP。文章列举了使插件失效的多种方法,包括Stolen Code、双进程、父进程检测、Hook启动API等。同时,展示了特征码的代码片段,帮助读者理解其工作方式。
摘要由CSDN通过智能技术生成
***    PEid插件——Generic OEP Finder 原理分析    ***

   PEid的这个小插件用了很久了,一直觉得功能不错,准确率也挺高的,自己在写壳的过程中也曾尝试避开其检测,但一直没有成功,于是抽了些时间看看它的实现原理,这才恍然大悟。
   下面是这个插件的一级输出函数:

10001870 ; Exported entry   1. DoMyJob
10001870
10001870 ; ************** S U B R O U T I N E *****************************************
10001870
10001870
10001870           public DoMyJob
10001870 DoMyJob   proc near
10001870
10001870 hWnd      = dword ptr  4
10001870 arg_4     = dword ptr  8
10001870 arg_8     = dword ptr  0Ch
10001870
10001870           mov   eax, [esp+arg_8]
10001874           push  ebx
10001875           push  esi
10001876           cmp   eax, 50456944h
1000187B           push  edi
1000187C           jz    short loc_10001889
1000187E           cmp   eax, 5852445Ah
10001883           jnz   loc_10001A81
10001889
10001889 loc_10001889:                           ; ...
10001889           mov   ebx, [esp+0Ch+arg_4]
1000188D           or    ecx, 0FFFFFFFFh
10001890           mov   ediebx
10001892           xor   eaxeax
10001894           repne scasb
10001896           not   ecx
10001898           dec   ecx
10001899           cmp   ecx, 1
1000189C           jnb   short loc_100018BE
1000189E           mov   eax, [esp+0Ch+hWnd]
100018A2           push  40000h                  ; uType
100018A7           push  offset szError          ; lpCaption
100018AC           push  offset szNoFileSpecifie ; lpText
100018B1           push  eax                     ; hWnd
100018B2           call  ds:MessageBoxA
100018B8           pop   edi
100018B9           pop   esi
100018BA           xor   eaxeax
100018BC           pop   ebx
100018BD           retn
100018BE ; ----------------------------------------------------------------------------
100018BE
100018BE loc_100018BE:                           ; ...
100018BE           push  0                       ; hTemplateFile
100018C0           push  80h                     ; dwFlagsAndAttributes
100018C5           push  3                       ; dwCreationDisposition
100018C7           push  0                       ; lpSecurityAttributes
100018C9           push  1                       ; dwShareMode
100018CB           push  80000000h               ; dwDesiredAccess
100018D0           push  ebx                     ; lpFileName
100018D1           call  ds:CreateFileA
100018D7           cmp   eax, 0FFFFFFFFh
100018DA           mov   ds:hObject, eax
100018DF           jnz   short loc_10001908
100018E1           push  eax                     ; hObject
100018E2           call  ds:CloseHandle
100018E8           mov   ecx, [esp+0Ch+hWnd]
100018EC           push  40000h                  ; uType
100018F1           push  offset szError          ; lpCaption
100018F6           push  offset szCouldNotOpenTh ; lpText
100018FB           push  ecx                     ; hWnd
100018FC           call  ds:MessageBoxA
10001902           pop   edi
10001903           pop   esi
10001904           xor   eaxeax
10001906           pop   ebx
10001907           retn
10001908 ; ----------------------------------------------------------------------------
10001908
10001908 loc_10001908:                           ; ...
10001908           push  0                       ; lpName
1000190A           push  0                       ; dwMaximumSizeLow
1000190C           push  0                       ; dwMaximumSizeHigh
1000190E           push  2                       ; flProtect
10001910           push  0                       ; lpFileMappingAttributes
10001912           push  eax                     ; hFile
10001913           call  ds:CreateFileMappingA
10001919           push  0                       ; dwNumberOfBytesToMap
1000191B           push  0                       ; dwFileOffsetLow
1000191D           mov   edieax
1000191F           push  0                       ; dwFileOffsetHigh
10001921           push  4                       ; dwDesiredAccess
10001923           push  edi                     ; hFileMappingObject
10001924           call  ds:MapViewOfFile
1000192A           mov   esieax
1000192C           test  esiesi
1000192E           jnz   short MapViewCreated
10001930           mov   edxds:hObject
10001936           mov   esids:CloseHandle
1000193C           push  edx                     ; hObject
1000193D           call  esi ; CloseHandle
1000193F           push  edi                     ; hObject
10001940           call  esi ; CloseHandle
10001942           mov   eax, [esp+0Ch+hWnd]
10001946           push  40000h                  ; uType
1000194B           push  offset szError          ; lpCaption
10001950           push  offset szMappingError__ ; lpText
10001955           push  eax                     ; hWnd
10001956           call  ds:MessageBoxA
1000195C           pop   edi
1000195D           pop   esi
1000195E           xor   eaxeax
10001960           pop   ebx
10001961           retn
10001962 ; ----------------------------------------------------------------------------
10001962
10001962 MapViewCreated:                         ; ...
10001962           mov   ds:lpFileHeader, esi
10001968           cmp   word ptr [esi], 5A4Dh   ; 是否为可执行文件
1000196D           jz    short IsExeFile
1000196F           mov   ecxds:hObject
10001975           mov   esids:CloseHandle
1000197B           push  ecx                     ; hObject
1000197C           call  esi ; CloseHandle
1000197E           push  edi                     ; hObject
1000197F           call  esi ; CloseHandle
最低0.47元/天 解锁文章
pll621
关注
专栏目录
peid 文件大小插件
12-03
peid 文件大小插件 peid 文件大小插件
PEID插件的写法
谢绝留言与私信
10-09 890
前言看到PEID插件目录带的例子,试验了一下,等逆向出PEID算法扫描插件后,就可以直接在插件工程中写还原代码了.PEID插件的调用约定是__cedel.试验记录; @filename ReKanalPlugin.def LIBRARY ReKanalPlugin DESCRIPTION "Kanal pulgin RE project" VERSION 0.1 EXPORTS fnBuil
目前最全插件最好的PEID查壳工具(汉化版)
05-04
解压到没用中文的文件夹下就可以实现PEID的汉化 目前来说这个是最全插件最新数据的版本了
PEiD插件版0.95
07-25
PEiD插件版0.95
PEiD(无毒全插件版).rar
09-15
PEiD(无毒全插件版),网上大部分都报有毒,经收集试用该版本没报毒,并尽可能收集插件,强化功能。
PEID 查壳软件 for WinXP/Win2000/Win7 最新版本,包含全套插件
01-29
插件是扩展PEID功能的一种方式,它们通常由社区成员开发,用于识别特定类型的壳或者提供额外的分析功能。有了这些插件,用户可以更全面地分析PE文件,获取更详尽的信息,比如导入导出函数、资源信息、特征码等。 **...
免杀破解利器-OEP查找工具-OepFinder汉化版
05-24
免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版
PEID加密算法识别插件Krypto ANALyzer
qq_35429581的博客
11-03 3966
前不久一次ctf比赛里碰到的逆向题ida反编译出来一坨恶心的移位异或代码,当时直接蒙蔽谷歌也找不出,这次再度碰到类似的关键代码块也是一筹莫展,ida里面装过一个findcrypto的插件也并没有分析出什么算法,搜索过程中发现可以用PEID的一款插件Krypto ANALyzer,试了下分析出了是DES。。。。 然后。。就没有然后了。。。。搞竞赛也搞了整一年了,感觉还是不经意间在向赛棍的方向走岔了
PEiD查壳工具 v0.95 全插件汉化版.rar
07-10
PEiD是一款著名的查壳侦壳工具,这是PEiD的全插件版本,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE文档的加壳类型和签名。 新增加WinNT平台下的自动脱壳器插件,可以应对现在大部分的软件脱壳(包括PEiD自身的UPXShit0.06壳)! 现在软件越来越多的加壳了,给破解带来非常大的不便,但是这个软件可以检测出 450种壳,非常方便! 增加病毒扫描功能,是目前各类查壳工具中,性能最强的。另外还可识别出EXE文件是用什么语言编写的,比如:VC 、Delphi、VB或Delphi等。 支持文件夹批量扫描; 插件增加到5个:General OEP、Kanal 1.3,FSG v1.33 Unpacker,CRC32(新增加的),PEiD 通用脱壳器 Forwinnt2kxp(新增加的), ……功能全部开放!强烈推荐!
Molebox 2.x Unpacker OEP Finder Script modified by zhupf(免费)
07-31
Molebox 2.x Unpacker OEP Finder Script modified by zhupf(免费)
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
email_finder:这个小工具可帮助您找到带有其姓名和URL的某人的电子邮件地址
05-14
电子邮件查找器 这个小工具可帮助您找到某人的电子邮件地址及其姓名和URL。 它的工作方式是使用提供的名称和URL运行许多不同的排列,并对每个排列对邮件服务器执行ping操作。 在实际发送电子邮件之前,它会切断连接并返回是否收到有效响应。 如果是这样,您将看到电子邮件地址。 使用方法: git clone https://github.com/jkhaykin/email_finder.git cd email_finder bundle install rails s 如果您对如何进行改进有任何想法,建议并接受拉取请求。
UPX Unpacker.exe
08-05
UPX Unpacker.exe
PEiD的工作原理
weixin_30337157的博客
03-18 586
开发环境识别 检查oep的合法性 提取oep附近的机器码,对比特征码 检查 “.rdata” 节是否存在 检查oep是否处于 “.text” 节中 开发环境的伪造 找到oep,在 “.text” 节中找到一段空白处,填写机器码 在oep检查结束后执行 “CALL 0x........(oep)” ,将程序重新调整回真正的oep处 检查程序是否存在 “.rdata” ...
【调试原理】逆向peid-判定vc
Night May Say
04-10 1861
以前一直认为一个工具只要会用就可以了,可是作为一名喜欢安全的渣渣来讲,会用还远远不够,你还得了解它,欺骗它,改造它,提升它! 上一篇文章讲了如何脱掉peid0.94版本的壳 [调试原理]逆向peid_脱壳 这一篇文章对peid开始逆向分析它的原理。开始的时候,从最简单的分析起:如何判断程序有vc编译器编译的。 逆向工具:ollydbg,ida,winhex 分析对象:peid v0.94(
OEP查找样例
V8cangshu的博客
06-15 466
由于Upack会将IMAGE_OPTIONAL_HEADER的NumberOfRvvaAndSizes值设置为A(十六进制)(默认为10)所以导致异常。忽略报错后。无法跳转EP位置,停留在ntdll.dll区域。 使用stud_PE得知EP的值为01001018接着在OD查找并设置新的OEP更改EIP。 前两条指令读取010011B0的前四个字节,在加到EAX当中获得0100739D,挂断点...
PEiD--什么都没发现
跃然实验室
06-09 5044
什么都没发现 加密或加壳
学习记录—几种脱壳方法:
最新发布
f_zhangwuji的博客
07-16 145
2、尝试找OEP入口点,尾部跳转指令 jmp or return (一串无效字节前最后一条有效指令,脱壳存根指向OEP)。跳转到oep之前再恢复所有信息,可以在栈上下硬件断点尝试定位。7、直接打开improt rec,选择对应进程,修改oep,单击iat自动搜索。5、F8单步步过 发现了oep(如果无法识别右键 分析—>分析代码)1、Peid识别到pecompact1.68壳子。3、运行到call处,右键esp在数据窗口中跟随。3、Ida无法识别尾部跳转,一般会标记错误。4、选中前四个字节下硬件访问断点。
UnPackMe_ReCrypt v0.80脱壳分析OEP定位与线程挂起
使用PEIDGenericOEPFinder插件确定OEP为0x401000,SizeOfImage为0x00006000。之后,利用Estricnina挂起程序创建的三个线程以降低CPU占用。" 在进行ReCrypt v0.80的脱壳时,首先要做的是对目标程序进行信息收集。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值