PE文件的简单加壳和脱壳(UPX和PEiD)

已于 2022-02-26 11:25:55 修改
阅读量3.7k 收藏 10
点赞数 1
分类专栏: 电子取证 文章标签: windows
于 2022-02-12 16:58:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29566629/article/details/122898832
版权

先普及几个概念:

  1. PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件。
  2. 加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘 文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。
    一、使用UPX对exe文件进行加壳:打开文件之后直接执行,会发现exe文件的大小变小了
    在这里插入图片描述
  3. 使用PEiD对于加壳后的文件进行探测:可以看到显示被加了壳
    在这里插入图片描述
  4. 使用UPX脱壳:并且大小恢复到原来的大小
    在这里插入图片描述
  5. 再用PEiD进行探测:发现已经脱掉了壳
    在这里插入图片描述
qq_29566629
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pescan3.31cn PEID Exeinfope petools
12-24
通过pescan和PEID识别技术,Exeinfope提供详细信息,而petools则可以实际操作PE文件,调整其结构,实现。这一套工具组合在一起,为逆向工程师提供了一整套的分析和处理PE文件的解决方案。 在使用这些工具时...
PE原理以及实现
qq_31615907的博客
04-09 9730
     对于很多高手来说,是一件微不足道的小事,但是对于大部分从未接触过的朋友都是有点懵。新手对于的理解大都就是在执行原程序代码前率先取得控制权的代码,这些代码可以对原代码or数据进行解密(在未解密前是看不懂的),此方法常用于干扰静态反汇编,记得早些时候也被称为SMC密。    就整体思路来说,这个想法是完全正确的,但是需要实际操作起来却不是向说得那么轻松。1、我们是基于二进制文件修改...
软件的原理及实现
热门推荐
woshigeshusheng的博客
03-30 3万+
的实现我是个初学者,所知有限,难免会有错误,如果有人发现了错误,还请指正 先大致说一下的原理,即在原PE文件(后面称之为宿主文件)上一个新的区段(也就是),然后从这个新的区段上开始运行;也就算是成功的上了;下面我们就说一下具体的实现。 这个工程有两个项目,一个用来生成的Win32项目(dll类型),另一个是实现的MFC项目; 的项目界面是用MFC实现的,除了原有的类外
【CTF Reverse】XCTF GFSJ0490 simple-unpack Writeup(UPX++反汇编)
最新发布
HEX9CF的技术博客
05-01 431
菜鸡拿到了一个被的二进制文件
压缩工具UPX编译及使用实例
D_Flash的博客
08-24 8129
压缩工具UPX编译及使用实例
实验四:使用UPX
kelxLZ的博客
04-27 6874
实验四:使用UPX 报告人姓名:苏煜程 学号:031803108 一、实验目的 了解程序原理 掌握PE文件结构 学习利用UPX Shell、LoardPE、IDA等工具完成软件的操作 二、实验题目 UPX:对crackmeUPX,用 LordPEPEiD 工具查看前后的变化 UPX:用UPX Unpacker对已的 crackme.exe 程序进行 手动:使用ESP定律和Ollydbg工具对crackme.exe进行手工 IDA静
UPX源码分析——
键盘的起始页
07-27 3777
0x00 前言UPX作为一个跨平台的著名开源压缩,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的密防护中。虽然针对UPX及其变种的使用和都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,为感兴趣的研究者和使用者做出一点微不足道的贡献。0x01 编译一个debug版本的UPXUPX for Linux的源码位于其git仓库地址https://github.com/
PEspin 0.3x)
qq_31507523的博客
11-05 760
PEspin 0.3x)    总结:   ① 找OEP 难点在于硬件断点有时会失效,解决方法通过特征定位   ② 找到清除硬件断点的异常函数 配置异常环境(尽可能接收所有的异常),通过在异常点设置硬件断点,来判断前一个异常函 数是否有清除代码,可以最终判断出第三个异常(STI 特权指令异常)的异常函数有清除代 码。   ③ 解密IAT 按照通用方法,在OEP处的第一个API函数所在的IAT设置硬件写入断点,展开分析。 首先会找到填充IAT的点,然后再通过跟踪找到获取API的地方,之后写脚本(脚本
peid扫描器
01-30
标题中的“peid扫描器”指的是PEiD (Portable Executable Identifier) 这款工具,它主要用于识别可执行文件PE文件)是否经过了处理。是恶意软件常用的一种技术,通过在原始代码外包裹一层外,以...
专用PEID
10-27
当用户使用PEID打开一个PE文件时,它会分析文件的各个部分,如资源、导出、导入、重定位等节区,对比特征库中的数据,从而确定是否存在现象,并且能识别出可能的类型,如UPX、ASPack、MEW等。 三、专用...
软件Peid使用方法
04-21
总结,Peid是一款强大的和查工具,它提供了直观的用户界面和多样的插件支持,使得逆向工程师和安全研究人员能够轻松地对PE文件进行分析和。了解和掌握Peid的使用,对于深入理解程序行为、查找潜在的安全...
PEID工具好用
01-11
PE文件结构包括头、节区和各种数据目录,PEID能够深入解析这些部分,帮助用户确定程序是否被以及的是哪种类型的。 在提供的压缩包文件列表中,我们有两个文件: 1. `PEiD_095_20060510_WestKing_HA.exe`:...
PEID0.95
谢绝留言与私信
10-09 1283
前言手里PEID是52pj版的, 想看看PEID算法扫描插件调用时的函数调用, 应该就是标准的DoMyJob函数,不过还是想看看. 原版PEIDFrom52Pj是的, 有UPX段,应该是UPX压缩, 准备手.调试记录PEIDEP004982B0 > 60 pushad 004982B1 BE 00404600 mov esi,PEiD.0046
学习记录—几种方法:
f_zhangwuji的博客
07-16 122
2、尝试找OEP入口点,尾部跳转指令 jmp or return (一串无效字节前最后一条有效指令,存根指向OEP)。跳转到oep之前再恢复所有信息,可以在栈上下硬件断点尝试定位。7、直接打开improt rec,选择对应进程,修改oep,单击iat自动搜索。5、F8单步步过 发现了oep(如果无法识别右键 分析—>分析代码)1、Peid识别到pecompact1.68子。3、运行到call处,右键esp在数据窗口中跟随。3、Ida无法识别尾部跳转,一般会标记错误。4、选中前四个字节下硬件访问断点。
PE结构详解(必备知识)第二篇·存储地址介绍
MR王峰的专栏
11-24 579
昨天分享了一篇PE结构详解(必备知识),本篇是上一篇续篇,主要介绍关于PE结构的三种存储地址 VA、RVA、FILEOFFSET及转换方式,希望对你有所帮助。 一、关于VA、RVA、FILEOFFSET VA:虚拟地址,PE文件映射到内存后的地址。 RVA:相对虚拟地址,内存地址相对于映射基地址的偏移地址。 FileOffset:文件偏移地址,相对PE文件在磁盘上的文件开头的偏移地...
upx工具
Cfoxer的博客
05-25 2715
1.exeinfope查下upx无疑2.官方工具:https://github.com/upx/upx/releases使用命令upx.exe -d。
PE文件初探
m0_46296905的博客
06-07 2948
PE文件一、PE文件的载入机制:(一)相对虚拟地址RVA:(二)文件偏移地址(物理地址):二、PE文件结构简述(一)MS-DOS头部(二)PE文件头DataDirectory[16](数据目录表):(三)区块 一、PE文件的载入机制: PE文件并不是作为单一映射文件被载入,它先被Windows载器(PE装载器)遍历,决定哪个部分要被映射,(映射是高偏移地址对应高内存地址)。 然后PE文件被载入内存,数据结构布局与原始的一致之外,数据间的相对位置不一定一致。所以某一部分的载入偏移地址不一定等于原始偏移地
PE文件操作-简单实现
yeshahayes的博客
08-14 3670
处于一些原因,需要对PE文件进行。所谓就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
PE文件的分析和构造超详细过程
m0_62574258的博客
04-13 1709
本文详细讲述如何从0构造一个PE文件,运行该文件会弹出一个HelloPE的窗口。
upx导出附数据
06-20
UPX是对可执行文件进行压缩的一种工具,它可以将文件的体积缩小至原来的几分之一,从而能够方便地传输和存储。但在一些情况下,需要对UPX压缩后的文件进行,使其恢复为原始的可执行文件,或者,使其变得更安全。此外,UPX还支持导出附数据,这些数据可以包含一些额外的信息,如程序的版本、作者、网站等,这些信息可以对程序的使用和维护非常有帮助。因此,掌握UPX的相关技术,能够提高对可执行文件的处理能力,进而提高软件开发和维护的效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值