脱壳

最新推荐文章于 2022-12-11 13:52:46 发布
最新推荐文章于 2022-12-11 13:52:46 发布
阅读量1.2k 收藏 2
点赞数
分类专栏:
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/103341624
版权

脱壳

我们知道压缩壳实现原理了,所以大概知道怎么拖了,只要我们找到解压后的代码入口点,在把他dump下来基本上就成功一半了,因为dump下来的IAT此时存放的是函数地址,而不是函数名的RVA,而且你也不知道对方有没有抹掉导入表,所以需要修复导入表

脱壳步骤大致如下

  1. 查找OEP OEP的识别:经验、案例收集
    1.1 VC编译程序的OEP:API断点QueryPerformanceCounter,栈回溯往上找
    1.2 VS2003-VS2015编译程序的OEP:call+jmp 通用方法: ESP定律
    ESP定律 :伪入口点找到程序返回的位置,也就是自己写压缩壳的时候,需要保存寄存器环境,等回到入口点执行时就要pop寄存器 这时候在push寄存器下一个硬件访问断点就可以找到了
    1.3 API:收集不同编译器编译后的真实入口点,找到必来的API,然后下API断点往上查找
    单步跟踪:单步跟踪(步过循环,只向下跳转),遇到一个跨节的大JMP一般就是真正的OEP

  2. dmp文件
    注意:这里一定要在入口点再dup文件,因为有些全局变量一开始是未初始化状态,如果程序已经正在运行,那么这时候dmp全局变量的值可能是错的

3.修复PE:修复对应导入表

脱壳案例

用exeinfope.exe查看一下是什么壳,发现是upx
在这里插入图片描述
用x32db加载程序
在这里插入图片描述
看到pushad,可以用ESP定律查看试一下,入栈后下个硬件访问断点,f9运行在这里插入图片描述
看到此时已经,pop了,接下来可以判断应该是进入入口点了,继续F8 jmp过去,如下图,入口点位置如下
在这里插入图片描述
此时dump下来,运行exe失败,这个时候就要自己查看一下原因了,把dump下来的加载进x32dbg查看一下, 如下图
在这里插入图片描述
看到这个很像IAT的位置中的地址无效,查看一下原PE这个地址是什么,如下图
在这里插入图片描述
在这里插入图片描述
发现运行完这个函数之后ret就是api函数入口地址,这就相当于IAT填的是混淆代码,反正最终是会运行到api入口地址去的,所以多运行api试一下,找找规律,把IAT的api入口地址填进行,我这个规律就是ret以后就是api入口地址,用python写一个脚本去修复IAT,下载python2.7版本设置环境变量,然后把pythonSDk放到x32dbg插件的目录下,重新启动x32dbg
python脚代码如下

#coding:utf-8
import x64dbgpy.pluginsdk._scriptapi.debug
from x64dbgpy.pluginsdk._scriptapi import * 
SetHardwareBreakpoint(0x0047148b)
Run()

dwAddr = 0x00475000
dwCountOfApis = 0x48

for i in range(0, dwCountOfApis):
    # 获取IAT表项
    dwIATAddr = dwAddr + i*4
    
    # 读取堆地址
    dwHeapAddr = ReadDword(dwIATAddr)

    # 判断是否是0if(dwHeapAddr == 0):
        continue

    # 单步执行代码到ret
    SetEIP(dwHeapAddr)
    while True:
        StepIn()
        byte = ReadByte(GetEIP())
        if(byte == 0xC3):
            StepIn()
            break
    
    #eip为真正的API的地址,保存到IAT表
    WriteDword(dwIATAddr, GetEIP())

然后执行代码,此时IAT填的都是真正的地址,这时候用工具ImportREC把导入表(IAT)给保存下来,记得工具要管理员权限运行,不然会找不到PE文件,填好OEP和IAT的首地址和大小,获取一下看看是否有效,有效的话直接点击成load tree,因为有些是转发函数(也就是函数实现在另一个dll里面),所以会无效,这个也必须修复一下,填真实的dll和函数名就修复了,如下图
在这里插入图片描述
最后把dump下来的文件用ImportREC修复导入表,点击加载load tree----勾选上add new section----点击fix dump,此时会生成一个新的修复导入表的新PE 如下图
在这里插入图片描述

code_greenhand
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳入门(一)之分析Aspack
w_g3366的博客
07-02 5531
文章目录脱壳0.前置知识1 .的基础知识1.1的加载过程示例:分析一个简单的aspack 脱壳 0.前置知识 熟悉PE文件结构 PE文件的Magic Code是什么 MZ头,PE头 PE文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件的扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...
脱壳简单了解
akdelt的博客
01-25 1206
为了防止程序被非法修改或反编译,开发人员通常会在二程序中加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码和自然界的在功能上十分相近,因此把这样的程序称之为“”。一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2682
脱壳的基本步骤 1.查(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
逆向基础-加
AppWhite_Star的博客
07-30 716
逆向基础-加
脱壳第一篇(基础知识)
Winter_Zero的博客
12-27 1395
什么是的作用是什么? 简单举个例子:鸡蛋 “ 鸡蛋 ” 也是,其作用就是保护里面的蛋白和蛋黄。 “ 软件上的 ” 本质上就是代码,但是我们形象的称之为。其作用就是保护程序,确切的说是隐藏OEP( 原始入口点 ) 在吃鸡蛋的时候,我们要做的第一件事,就是“ 脱壳 ”。 同样的,“ 软件上的 ”也是类似的,程序在运行的时候,首先就是运行的代码(程序自己给自己脱壳)。 那么怎么辨别...
Themida - Winlicense Ultra Unpacker 脱壳教程
最新发布
05-08
脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
详解ILProtector并写出脱壳机,比较详细的文档说明脱壳方法原理
10-28
本文将深入探讨ILProtector的工作原理,并逐步指导如何编写一个简单的脱壳机,以便对这一保护机制进行理解。 1. ILProtector的工作原理: ILProtector的核心在于其混淆技术。在.NET环境中,源代码编译后生成MSIL...
360脱壳工具
03-06
在IT行业中,"360脱壳工具"是一款专门针对Android应用进行逆向工程的工具。这个工具的主要功能是帮助用户“脱壳”APK文件,即解除应用程序的保护层,以便于分析、查看或修改其内部代码。下面将详细阐述这个工具的...
.net脱壳工具
07-16
.NET脱壳工具是一种专门用于处理.NET框架下加和加密的程序的技术,它允许开发者或者逆向工程师解除程序的保护层,以便进一步分析、调试或反编译代码。标题中的".NET脱壳工具"指的是这类专门针对.NET程序的脱壳软件...
DNGuard_HVM_脱壳工具.zip
12-31
《DNGuard_HVM_脱壳工具:深入解析与应用》 DNGuard_HVM_脱壳工具是一款专为处理HVM(Highly Virtualized Machine)保护设计的专业软件。在IT安全领域,尤其是逆向工程和软件保护研究中,脱壳工具扮演着至关重要...
vmpdump:由VTIL支持的动态VMP转储程序和导入修复程序
03-17
VMPDump 由VTIL支持的动态VMP转储程序和导入修复程序。 适用于VMProtect 3.X x64。 之前与之后 用法 VMPDump.exe <Target> "<Target>" [-ep=<Entry>] [-disable-reloc] 参数: <Target> :目标进程的ID,以十进制或十六进制形式。 <Target> :应该转储并修复的模块的名称。 如果需要过程映像模块,则可以为空字符串(“”)。 [-ep=<Entry>] :十六进制形式的可选提供的入口点RVA。 VMPDump只是使用此值覆盖可选标头中的入口点。 [-disable-reloc] :可选设置,用于指示VMPDump标记输出图像中的重定位已被剥离,从而迫使该图像加载到转储的ImageBase上。 如果需
程序加脱壳
qq_43082315的博客
10-07 1223
程序加脱壳原理
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2546
是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 的分类 分为压缩和加密 压缩 压缩主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩有:Upx、ASpack、PECompat 加密 加密应用有多种防止代码逆向分析的技术,用该的PE文件会比原文件大很多,有时恶意程序也用加密来降低杀毒软件的扫描 常见的加密有:ASProtector、Armadillo、EXECryptor、T.
德国威步 codemeter java 加密
Damon的博客
12-11 229
项目中用到了德国威步的 codemeter 加密java程序,最开始遇到了加密后,计算效率下降50-100倍的问题。 后来经过探索,解决了他这个加密系统对java程序的速度影响。加密对计算速度的影响为0.
python爬虫app脱壳 用什么工具,APP脱壳方法三
weixin_39950083的博客
03-26 738
# Author: hluwa # HomePage: https://github.com/hluwa# CreatedTime: 2020/1/7 20:57import hashlibimport osimport randomimport systry:from shutil import get_terminal_size as get_terminal_sizeexcept:try:f...
逆向破解程序脱壳篇-压缩
iqiqiya的博客
04-11 6089
一、普及What?所谓“”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的。WHY?① 对程序专门进行...
逆向工具之脱壳神器反射大师(附脱壳环境搭建、脱壳实战)
热门推荐
hestyle的博客
05-22 3万+
  相信点击进入这篇博客的小伙伴都知道并且搞过App逆向,不过有时候会遇到各种加的App,不让你反编译。但是道高一尺,魔高一丈,有正向加密,就有逆向解密。今天博主带大家搭建脱壳环境,并且手动脱一个加了某60的的App。闲话少叙,直接开始吧! 逆向工具之搭建脱壳环境与脱壳实战目录一、`Android`系统二、安装Xposed框架1、下载`Xposed Installer`2、安装`Xposed Installer`三、安装`反射大师`1、下载`反射大师`2、安装`ReflectMaster`并授权四、脱壳
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 7030
加密脱壳
confuserex脱壳
01-16
脱壳是指将被此类混淆工具保护的程序集进行反混淆,使其恢复原来的源代码以进行分析或修改。 要对confuserex进行脱壳,通常需要使用一些特定的脱壳工具或脚本来解除其混淆。首先,需要确定所使用的confuserex版本,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值