(2)lordPE脱壳

已于 2023-05-28 10:39:38 修改
阅读量509 收藏
点赞数
文章标签: 学习
于 2023-05-25 22:19:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q975583865/article/details/130876614
版权
文章详细介绍了两种方法来寻找OEP(原始入口点),一种通过OllyDbg设置内存断点配合OllyDump插件,另一种通过搜索特定指令序列。然后利用lordPE进行PE文件的完整脱壳,调整OEP,并可能需要手动处理IAT和修复dump文件。如果仍然存在问题,可以通过编辑二进制数据进一步脱壳。
摘要由CSDN通过智能技术生成

1.寻找OEP

1.1第一种情况

1.修改OD选项,调试设置"事件"为系统断点,直接打开"查看"->"内存",设置00400000下F2断点,单步F8找到OEP,右键打开ollydump插件查看修正地址,如:这里为237917

 

1.2第二种情况

进入od后如果直接是

pushfd
pushad

F8走到pushad后右键,“查找”-》“命令序列” 对应快捷键为CTRL+S,搜索代码对应为

popad
popfd

找到对应点下F2断点,例如

重新运行进入后取消断点F8寻找0040开头的OEP,如:0040152

2.lordPE脱壳

使用lordPE进行完整脱壳生成unPack.exe,用ImportREConstructor输入表重建工具修改OEP为1528,自动查找IAT,获取输入表,显示失效的,如果有,需要cut掉,修复转储文件(fix dump)unPack.exe

如果unpack依然报错可能需要进一步脱壳,打开lordPE,打开“PE编辑器”,选择加壳程序,“区段”,找最后一个区段的ROffset+RSize如下图,和为28400

用notepad++的Hex插件视图找到28400的一行,复制这一行到最后一行的所有数据

用notepad++的Hex插件视图打开unpack.exe,将复制的数据粘贴到最后并另存为unpack2.exe

一点寒芒先至
关注
第二课_ESP定律详解&LordPE脱壳
07-15
第二课_ESP定律详解&LordPE脱壳,入门指导
使用LordPE和Import REC脱壳
weixin_43575859的博客
04-18 4675
本博客用到的资源链接放在博客末尾。 LordPE是一款能够抓取内存映像的用来脱壳的软件,它能够把一个进程的内存数据给Dump下来,然后保存为文件。 光了解一个软件的用处用起来如果出问题还是会比较头疼,所以这里简单说一下LordPE软件的原理。 该软件其实也是调用了系统的API。它首先调用CreateToolhelp32Snapshot函数来获取一个系统中的进程的快照。然后再用Module32...
LordPE
跃然实验室
06-08 3958
不用管理员权限 LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。 ImageBase 基地址,ImageSize 内存大小 ...
壳的概念、LordPE的使用、C#读取PE文件初步
bcbobo21cn的专栏
03-05 4416
参阅 加密与解密 第三版;13.1;13.2; 有加壳,必有脱壳。 壳的加载过程 1 保存入口参数 加壳程序初始化时保存各寄存器的值,外壳执行完毕,再恢复各寄存器内容,最后再跳到原程序执行; 2 获取壳自己所需要使用的API地址 通过LoadLibrary或LoadLibraryEx将DLL文件映像映射到调用进程的地址空间中;然后...
使用工具分析PE文件
qq_52185773的博客
02-21 2083
使用工具分析PE文件。
反病毒工具-LordPE
热门推荐
KD的疯狂实验室
07-24 1万+
LordPE简介一款强大的可执行文件分析辅助脱壳工具,附带16进制编辑器.不包括反汇编模块.它名字叫LordPE而不是LoadPE. 其拥有基于最小功能的PE修改方式.对于win32平台下如果不将样本拖到其中分析看看,还叫分析恶意程序吗?可见其非常常用实用.
LordPE PE文件编辑工具(LordPE)下载 1.4 汉化增强版_PE脱壳软件修复
05-02
(2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location ...
lordPE强大的PE文件分析、修改、脱壳软件
03-04
2. **PE文件修改**:LordPE提供了修改PE文件头、节区属性、资源、导入/导出表等功能。用户可以自定义入口点、修改资源字符串、添加或删除导入/导出函数,甚至调整代码大小。 3. **脱壳功能**:软件壳通常用于保护...
LordPE(PE文件分析、修改、脱壳软件)
06-18
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。
LordPE V1.4
10-07
例如,通过LordPE脱壳一个加壳的病毒样本,可以揭示其真实的代码逻辑,从而更好地理解和阻止其运行。 总结,LordPE V1.4作为一款强大的PE加载工具,不仅提供丰富的PE文件分析功能,更在脱壳技术上独树一帜,为IT...
lordpe(汉化)
12-12
LordPE的最新版本,改进了许多东东,PE 编辑器的功能更加强大,加入了各项目的16进制编辑和列表,除了修补了LDS(LordPE Dumper Server)的一些bugs,还增加了一个LDE(LordPE Dumper Engine),支持新的插件格式,功能增加了,还加入了一些yoda自己写的软件,对了,还有一项新的功能,就是:全球首先支持新的 pe 文件格式---pe+,但是只是支持编辑,还不支持脱壳等别的操作。配合手动脱壳工具(Ollydbg等)、ImportREC 等,学习调试手动脱壳必备的工具!
强大的PE文件分析工具
06-11
强大的PE文件分析工具,给初学者提供很好的帮助
ImportREConstructor 1.7e
12-25
ImportREConstructor 1.7e 其中包含美化版和基本汉化版,还还有英文原版
22. PE结构-PE详解之输入表(导入表)、屠龙刀W32Dasm(静态)、LordPE(动态)工具入门(查找dll、调用函数)
墨痕诉清风的博客
03-05 2442
我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块表(节表)的数据来描述这些区块。这里我们需要注意的问题是:一个区块中的数据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如接着要讲的输入表、输出表等就有可能和只读常量一起被放在同一个区块中,因为他们的属性都是可读不可写的。 其次,由于不同用途的数据有可能被放入同一个区块中,因此仅仅依靠区块表是无...
LordPE 查看程序依赖项的好工具
slfkj的博客
09-17 697
当程序运行崩溃时,想要查看exe,或dll依赖哪些项,使用lordpe去查看,详细明了,如: 1.拖动文件到lordPE里面,弹出一个对话框 2.弹出的对话框中选目录 3.再在弹出的对话框里选择导人表 ...
PE文件结构解析
qq_41672971的博客
08-01 386
重定位表解析
简单脱壳教程笔记
A powerful and unconstrained style
08-18 8418
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
2021-08-26
AMBER54321的博客
08-27 1102
逆向学习(一)环境汇编寄存器指令脱壳常用工具理论知识方法与修复OllyDBG动态调试常用快捷键破解 环境 1、工具 IDA、OllyDBG 、ExeinfoPE、DIE 汇编 寄存器 1、CPU通用寄存器 EAX 累加器, 它是很多加法乘法指令的缺省寄存器。 EBX 基地址寄存器, 在内存寻址时存放基地址。 ECX 计数器, 是重复(REP)前缀指令和LOOP指令的内定计数器。 EDX 则总是被用来放整数除法产生的余数。 ESI/EDI 分别叫做”源/目标索引寄存器”,因为在很多字符串操作指令中, DS:E
很好用的查看PE文件的小工具---LordPE Deluxe 1.4 汉化版
duhaomin的专栏
12-10 3929
看看该软件: 001:查看动态库dll导入、导出表内容: 选择PE编辑器: 随便找一个PE文件,比如exe,dll等等: 点开红色箭头指向,就看到了导入的dll、函数等等信息。
lordpe win10
最新发布
07-19
### 回答1: LordPE是一款用于Windows操作系统的工具,用于可执行文件的解析和修改。它是一款功能强大的反汇编软件,常用于静态分析和动态调试。 LordPE主要用于逆向工程和软件安全方面。它可以对可执行文件进行解析,包括导出函数、导入函数、节表、资源等。它还可以查看和编辑文件的二进制代码,如修改函数地址、修改寄存器值等。 除了基本的解析和修改功能之外,LordPE还提供了其他实用工具。例如,它可以扫描文件中的恶意代码,帮助用户检测和清除病毒。此外,它还支持反汇编和调试操作,用于分析和跟踪程序的执行过程。 在使用LordPE时,用户需要具备一定的计算机知识和经验。因为操作不当可能会导致系统故障或安全问题。因此,使用者应该谨慎操作,并在了解其原理和功能的基础上使用该工具。 总结来说,LordPE是一款功能强大的反汇编软件,用于Windows操作系统。它具有解析和修改可执行文件的能力,并提供了其他实用工具,用于逆向工程、软件安全和程序分析等。但是,使用者需要注意安全和操作规范,确保正确使用该工具。 ### 回答2: LordPE是Windows操作系统上的一个辅助工具,用于分析和修改PE(可执行和可链接)文件。 而Win10是Windows 10操作系统的简称,它是微软公司推出的最新一代Windows操作系统。Win10相对于之前的版本来说,有很多改进和创新,包括界面风格的变化、新功能的添加以及性能的优化等。 LordPE在Win10下仍然可以成功运行,并且能够与Win10的系统文件兼容。用户可以使用LordPE工具来查看和修改Win10下的PE文件,以便满足特定的需求。例如,用户可以通过LordPE来检查PE文件的结构、分析其导入和导出函数等信息,或者修改PE文件的某些参数以实现特定的功能。 使用LordPE工具需要一定的技术知识和经验,因为涉及到对PE文件的解析和修改。用户在使用时需要小心操作,以免对文件造成不可恢复的损坏。 总之,无论是在Win10还是其他版本的Windows操作系统上,LordPE都是一个强大的辅助工具,用于分析和修改PE文件。使用者可以根据自己的需求,结合LordPE工具来实现对Win10 PE文件的定制化操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值