逆向之手工加壳——004

最新推荐文章于 2022-07-30 15:52:47 发布
最新推荐文章于 2022-07-30 15:52:47 发布
阅读量526 收藏 2
点赞数
分类专栏: 逆向 软件安全 编程技术 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31507523/article/details/109441909
版权

逆向之手工加壳


试验工具: LordPE、010Editor、OD


试验程序是vs2017编译的控制台程序,开始加壳。

一、添加区段

  使用LordPE打开程序, 添加区段,新区段就是我们的壳

在这里插入图片描述

  找到NewSec区段,右键编辑,添加0x200字节大小,随后点击保存。保存后可以运行下,发现运行不起来。

在这里插入图片描述


  使用010Editor打开,找到最后,按Ctrl+Shift+i 添加0x200个字节大小。保存之后,点击程序发现可以正常运行了。

在这里插入图片描述


二、修改入口点(OEP)

  同样用LordPE打开,首先记录原始的入口点,我这程序是0x1144C。

在这里插入图片描述

  新添加的区段的RVA地址是0x23000,可以从上上上面的图片查询。将入口点直接更改为23000,然后点击保存。此时运行程序会崩溃。

在这里插入图片描述


三、OD修改跳转的原始入口点

  现在的目的是要让程序能正常运行起来,原理就是从壳代码跳转到原始的入口点
  由于win7以后的系统和程序都使用了随机基址,不能用jmp 直接跳转到一个固定的值
  这里需要用到GetPC 技术,也就是获取到当前EIP数据的技术。这里使用 call 下一条指令;pop eax。 这样eax就保存了当前运行代码的基址

在这里插入图片描述

   修改代码后,打个补丁,然后程序就运行起来了。
   虽然壳代码只是一个跳转到OEP的功能,但至少这也是个壳。


如果对加壳有兴趣,可以看一下我写的加壳基础篇和高级篇

基础篇:https://blog.csdn.net/qq_31507523/article/details/89438410

高级篇:https://blog.csdn.net/qq_31507523/article/details/89678830

九阳道人
关注
专栏目录
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
简单的手工加壳
Winter_Zero的博客
12-27 544
1.去掉随机基址 修改完后记得保存。 2.记录OEP及添加新区段的信息 OEP:00011339(RVA) EP:00020000(RVA) 区段名称:. Pack 虚拟 / 物理大小(区段的大小):500 文件偏移:00009600 3.给. Pack区段添加数据 根据文件偏移,找到区段在文件中的位置。 快捷键:Ctrl + G (00009600) 再根据区段的大小(刚才我们设置了区...
逆向基础-加壳
AppWhite_Star的博客
07-30 775
逆向基础-加壳
逆向-加壳工具介绍
写代码的小阿帆的博客
05-28 4094
经过两周尝试手动编写加壳程序,目前也只是能实现给PE文件添加新区块,后面还有重定位表的修复,地址输入表的处理,虚拟机和花指令技术等反调试手段…一大串要学习的工作,几乎就是放弃了吧,通过这两周学习能让自己对PE文件和偏移地址、虚拟地址有一定了解也算不亏。目前就是转而向使用工具方向了。 目前加壳的两个主要方向是压缩和加密。 压缩壳 压缩壳以UPX为代表,使用方法在前面的文章中有,此类壳的功能已压缩为主,对文件的加密效果几乎没有,Peid等侦壳工具可以轻而易举地发现这些壳,相应也有较成熟的脱壳机来实现。所以当文件
逆向分析系列——加壳工具
任浩的博客
02-03 276
1、UPX shell 2、ASPack2.12 3、PECompact V2 GUI 4、RLPack 5、NSPack 6、ASProtect 8、Armadillo 9、EXECryptor 10、Themida(虚拟机保护) 11、VMProtect(虚拟机保护) 12、MoleBox Pro
vs.net加壳
07-04
vs.net最常用的加壳
逆向——壳应用
young的博客
03-22 998
逆向——壳应用 文章目录逆向——壳应用前言一、壳的执行流程二、模拟壳的工作2.1、 对原始可执行文件RawPE.exe的代码节进行加密,得到EnPE.exe(已完成);2.2、增加节(已完成);2.3、 修改代码节的属性与程序的入口点;2.4、在增加的节中写入解密代码。总结 前言 本次实验的主要要求是在理解PE文件以及壳的工作原理基础上,对目的PE文件进行处理,增加节,并写入符合加密壳功能的代码,修改PE文件入口地址、修改节属性,达到加密壳的功能。 本次实验用到的工具有OllyDBG、PEditor、W
我的逆向学习之路
09-11 8404
最近正在学习逆向编程,但感觉学的很杂,没有章法,学习的游戏外挂编写既不懂得原理,遇到新的游戏有时候也会无从下手。 为了能够全面的提升自己,我决定给我自己划定一条既定的路线,循序渐进,游戏开发和正向学习齐头并进,如果还有精力就学习一下操作系统,并在CSDN上分享自己的学习过程与心得。 逆向学习 逆向的能力与正向息息相关。 这里我参考科锐的学习路线,再寻找相关的资料辅助学习。 第一阶段  "勿在浮沙筑高台"。在初级阶段我们有的放矢地给学员教授必须掌握的基本知识。在以后的阶段中,学员会发现后面..
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
PE文件、可执行文件区段添加器
08-01
可执行文件区段添加器,为你的PE文件添加一个区段,方便你在其中写入自己的代码。
[加壳脱壳] 手写自己的壳子,并尝试脱壳
LYSM
11-27 533
请到下面链接食用 ???? ????:写一个简单的异或加密壳 ????:手动脱壳以及脱壳后的修复
利用01Editor手工加壳
迪迦 • 奥特曼
10-08 1807
主要工具: 010Editor、LordPE、OD 实验平台:win10 64位 实现功能:加壳加壳原理 要想弄明白怎么对PE文件加壳,首先需要对PE文件比较熟悉,而最快的熟悉PE文件的方法就是自己写一个PE解析工具和写壳了。 先只用工具010Editor完成一个手工加壳,那么就明白加壳的原理了。 首先进行手工加壳 先用VS随便生成一个exe文件,我们使用它进行实验。 可以先使用010Edit...
手动加壳
wojiukanxia的博客
03-04 815
文章目录概述什么是壳为什么要加壳大致种类壳代码的一般执行流程如何加壳使用010Editor手动加壳 概述 什么是壳 壳是在正常程序代码运行之前先运行的一段代码 为什么要加壳 加壳的主要目的有以下几点 程序太大,加压缩壳对主程序数据进行压缩,接收空间 为了防止程序被静态分析,加壳后加密原有数据,骗过IDA等静态分析工具 为了防止程序被动态跟踪,加壳后的代码检测调试器是否存在,是否运行在虚拟机,防止...
VS.NET为jre加壳
吾欲乘风
05-09 826
vs.net中建立一个Win32小程序int APIENTRY _tWinMain(HINSTANCE hInstance,                     HINSTANCE hPrevInstance,                     LPTSTR    lpCmdLine,                     int       nCmdShow){STARTU
加壳与类加载器
nini_boom的博客
11-25 361
全面了解类加载器的分类、作用以及源码分析,了解双亲委派机制,动态加载第三方dex的函数。 类加载器的分类及作用 1、类加载器的种类 JVM的类加载器包括3种: Bootstrap ClassLoader(引导类加载器) C/C++代码实现的加载器,用于加载指定的JDK的核心类库,比如java.lang、java.uti等这些系统类。 Java虚拟机的启动就是通过Bootstrap,该Classloader在java里无法获取,用于加载lib下的类。 Extensions ClassLoader(.
手动增加pe节并修改oep
wangbabadan的专栏
03-26 919
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。 一、       增加pe节需要的操作 1.    确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch   也就是说 内存和文件的对齐粒度都是1000h. 2.    在文件末尾增加数据。 因为文件对齐的粒度是1000
简单的PE文件壳设计与验证
weixin_43908728的博客
11-07 667
简单的PE文件壳设计与验证 date: 2020 /11/6 Mission: 实现简单的跳转壳,在PE文件中添加新节,在新节其中加入跳转至原入口的指令,实现对原程序的启动。 实现PE文件加密壳,对原程序代码节内容异或运算,在原程序中加入新节实现对原代码节内容解密并启动运行。 Misson Source:CQU Source Code 测试使用的asm代码 .386 .model flat,stdcall option casemap:none include windows.inc include u
UPX源码分析——加壳
最新发布
05-17
加壳是指将一个已经编译好的可执行文件,通过加密、压缩等手段,使其变得难以被反汇编和逆向工程,从而提高软件的安全性。其中,UPX 是一种常用的加壳工具,可以将 Windows 和 Linux 下的可执行文件进行压缩和加密。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值