分析WinUpack壳程序解压缩过程

最新推荐文章于 2020-03-14 15:32:04 发布
最新推荐文章于 2020-03-14 15:32:04 发布
阅读量434 收藏
点赞数 1
分类专栏: 逆向 PE文件 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33526144/article/details/104117733
版权
逆向 同时被 3 个专栏收录
18 篇文章 0 订阅
订阅专栏
信息安全
11 篇文章 0 订阅
订阅专栏
PE文件
3 篇文章 0 订阅
订阅专栏

解压缩过程

1.查壳发现是WinUpack壳,OD载入失败,点击确定时,OD停留在ntdll.dll中,用stud_pe工具打开,发现EP为00001018
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2.在OD中,跳转到EP,选中ep,右键-》new origin here,调式
在这里插入图片描述
3.接下来看解压缩的过程,压缩的时候把数据都压缩到第二个节区中,解压缩的过程会把这些数据放到第一个节区中
在这里插入图片描述
4.单步,初始化eax,值为notepad的Oep,运行到0101fd18,为解压缩函数,该函数多次被调用
在这里插入图片描述
在这里插入图片描述
5.edi为第一个节区的地址,在解密函数中单步,发现了往edi中写入数据的代码段。
在这里插入图片描述
在这里插入图片描述
6.接着写入IAT,完成解压缩
在这里插入图片描述
参考资料:
《逆向工程核心原理》

buzhifou01
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinUpack 0.39汉英
03-08
WinUpack 0.39汉英,加的好工具,属于压缩的一种方法,这是最后的一个版本,然后再没更新了。
winupack
01-04
winupack
WinUpack 0.39 final -> By Dwing
xum2008的专栏
03-14 1748
手脱 WinUpack 0.39 final -> By Dwing 。。。因为想逆向一个东西,无奈,程序加了,IDA 不能识别出里边的一些东西,所以拿起 OD ,开始脱。。。这是一个压缩,基本上一路 F8然后就会 有一个 ret ,返回就是了: 004FE752     2BC7                  sub eax,edi004FE754     AB    
WinUpack
weixin_42539095的博客
12-25 409
**刚学过一个,写个笔记 查: 用OD载入 看到push eax 根据堆栈平衡可以用esp定律,下断 单步来到下面 再次esp然后单步几次,来到如下位置 多次调试,可以发现,它会根据eax的值不断的跳来跳去,当eax为0时会跳到OEP 下条件断点eax==0 来到OEP dum并修复即可 ...
35. 脱篇-UPX和WinUpack压缩的使用和脱法
墨痕诉清风的博客
03-08 1412
UPX官网:http;//upx.sourceforge.net UPX加 通过cmd窗口执行,进入upx目录,执行: upx.exe fishc.exe 或者直接将exe拖至upx.exe上即可 UPX脱 upx -d abc.exe 如果作者在导入表等地方修改的话,这种方式就不可以脱了,因为他自己都不认识自己了 一般情况下,加程序均为 pushad ...
手动脱WinUpack 实战
07-15
手动脱WinUpack 实战的分析文档和脱程序,这个脱程序是吾爱破解练习第6题,比较简单。
WinUpack0.39
06-22
压缩\WinUpack0.39.exe
北斗星压缩加V4.1
01-19
北斗星压缩加V4.1北斗星压缩加V4.1北斗星压缩加V4.1
简单脱教程笔记(11) --- 脱WinUpack加的
oBuYiSeng的博客
04-16 2771
本笔记是针对ximo早期发的脱基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 加条件断点的方法 1、加载程序后,使用单步进行,运行到0043e645处,发现此处是跳转到OEP的但是 跳转没有实现 2、在0043e645处添加条件断点,只要e
winupack工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
免杀工具箱 简体中文版
02-24
免杀辅助 ┍PE+ ┝MyCCL ┝MaskPE ┝冰枫文件防火墙 ┝AVFucker ┝AV Devil ┝ToPo ┝CodeCaver ┝Anti Kaspersky ┝TK.Loader ┝INSTDRV ┝DriverLoader ┝vmprotect ┕VBExplorer 保护 ┍BepGui ┝Cryptor ┝PolyBox ┝ASProtect ┝Punisher 汉化版 ┝ACStripper ┝PE加密 ┝Daemon Crypt ┝nsAnti CracKed ┝RPolyCrypt ┝Goat's PE Mutilator ┝Unknown Protect ┕EXE Stealth 压缩 ┍堀北压缩 ┝Minkecn ┝WinUpack ┝petgui_CHS ┝蚂蚁压缩工具 ┝超级加工具 ┝Nspack ┝FSG ┝GHF Protector ┝dePack ┝G!X Protector ┕eXPressor 花指令 ┍wrsky ┝防杀精灵 ┝花指令生成器 ┝超级加花器 ┝main ┝木马免疫器 ┝上兴应用程序 ┝冰枫文件加密器 ┝木马免杀保护器 ┝8way ┝花指令添加器 ┝EXE Evil ┝木马彩衣 ┝F ake Ninja ┕━━━━━━━━━━━
(Win)Upack 0.39final by dwing
Linhanshi Blog
12-18 2347
(Win)Upack 0.39final 周年开发纪念圣诞最终版(可能是最后一个版本)含中/英/俄三种语言的图形界http://bbs.pediy.com/upload/2005/10/files/winupack39.rar面版本和一个英文命令行版本.     0.39final -18/12/2005     ---------------------      *Slim e
Upack文件分析学习笔记
river
04-15 2031
逆向工程核心原理的学习
【转】脱工具
学习........
06-10 4090
工具http://www.pediy.com/tools/unpacker.htm 文件类型侦测工具 peid 0.94
UPX和WinUpack压缩的使用和脱法 - 脱篇06
weixin_33860147的博客
08-30 246
UPX和WinUpack压缩的使用和脱法- 脱篇06 让编程改变世界 Change the world by program 今天小甲鱼给大家介绍两款压缩:UPX和WinUpack。 UPX是时下最流行的压缩之一,因为它的压缩效率和稳定性都是比较不错的,另外一点呢他是开源的,小甲鱼在这节课的源代码下载处,提供了UPX的源代码给大家研究一下,它是用C++写成的。 .....
使用Cheat Engine定位植物大战僵尸基址
qq_33526144的博客
03-14 4373
寻找内存基址 1.我相信植物大战僵尸,很多人都玩过,接下来我来给大家展示怎样定位基址,先运行游戏软件,可以看到阳光值会发生变化,打开CE,在CE中打开游戏。 2.在CE中搜索阳光值100,可以看到很多结果,继续修改阳光值,点击next scan搜索,只出现了一个值,选中该值点击向下的红色箭头移到下面的列表中。 3.选中该值,点击enter键,可修改阳光值,在右键->发现写入该地址,...
使用pyinstaller逆向.pyc文件
qq_33526144的博客
12-19 1715
搭建python环境 1.百度搜索python3.7下载,找到官网下载安装包,运行安装包并配置环境变量。 2.这里一定要安装python3.7版本的,我之前安装python3.5,不能正常使用pyinstalller库。 3.能显示一下界面说明安装成功 安装pyintaller 1.进入scripts脚本目录,执行pip install pyinstaller,不过我这里已经下好了。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值