buuctf 新年快乐 ESP定律脱壳

已于 2024-07-20 17:46:01 修改
阅读量349 收藏 1
点赞数
分类专栏: 脱壳 文章标签: 系统安全 c++
于 2021-04-02 08:51:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37073764/article/details/115390018
版权
本文详细介绍了如何通过x32dbg和IDA进行程序脱壳和分析的过程。首先,识别出程序使用了UPX壳,然后在x32dbg中设置断点,逐步调试找到OEP。使用Scylla插件修复转储并获取导入,最终在IDA中成功分析程序,找到main函数。
摘要由CSDN通过智能技术生成

查壳,发现是upx壳。
在这里插入图片描述
我们可以直接使用脱壳机,这里使用ESP定律手动脱壳。
打开IDA,发现根本分析不了:
在这里插入图片描述
把程序拖入x32dbg,点击选项->首选项:
在这里插入图片描述
至少选择这两个断点,否则不知道停在哪个地方。
在这里插入图片描述
第一行就是pushad。
按F7,进入到下一行,然后发现ESP已经变了。
右击ESP的数字,点击在转储中跟随,
在这里插入图片描述
右击第一行,选择断点,“硬件,存取”,双字。
然后按F9继续运行。
在这里插入图片描述
已经到了popad的位置。
继续调试或者根据经验可以发现,00401280就是OEP。
在这里插入图片描述
点击插件->Scylla,先在OEP填入00401280,然后点击转储。
注意:对于这题的UPX壳可以填入jmp后的地址,但一般来说是填入jmp语句的地址,也即是0040E4……这个地址,否则很容易出现主函数入口识别错误。同时,我们也可以先进入jmp的地址看看,看看jmp后的地方有没有开始系统调用,有的话说明这里就是主函数入口了,否则很可能壳没有脱干净,得继续执行。确认脱壳脱干净了,再重新填入jmp语句的地址。
在这里插入图片描述
然后选择文件存放位置,在这里插入图片描述
会生成一个这样的文件。
在这里插入图片描述
然后在Scylla点击其他->选项,在这里插入图片描述
至少填上和选上这些。
然后先点击IAT自动搜索,再点击获取导入:
在这里插入图片描述
然后点击修复转储,选择
在这里插入图片描述
这个文件。
然后看到生成了这个文件:
在这里插入图片描述
把最后这个SCY拖入IDA分析:
在这里插入图片描述
已经能正常分析了,找到main函数,剩下的就是一眼题。

参考:https://blog.csdn.net/weixin_46287316/article/details/109669066

a10.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019年新年快乐专题页面模板
04-06
【标题】"2019年新年快乐专题页面模板"是一个设计精美的网站模板,专为庆祝新的一年而制作。这个模板充分利用了HTML5的技术特性,旨在为用户带来一个视觉效果出众且互动性强的新年主题页面。 【描述】提到的模板在...
BUUCTF 新年快乐(xdbg手动脱壳)
weixin_46287316的博客
11-14 2995
(博客仅个人理解,如有错误欢迎指正) -------壳的概述: 壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。 BUUCTF新年快乐: 1.下载附件将exe文件拖入查壳软件进行分析,发现加了upx壳: 在不脱壳的情况下拖入ida进行分析的结果如图:函数明
x32dbg之Scylla脱壳插件
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
12-26 143
配图1 这是一款新型的脱壳插件,高度集成于x32dbg中,与历代的脱壳工具长得很想相! 点击下载视频,按窍门操作即可。
BUUCTF靶场[Reverse]内涵的文件、新年快乐
最新发布
m0_73981089的博客
05-27 260
[reverse]内涵的文件   [reverse]新年快乐 使用DIE IDA
upx手动脱壳esp定律手动脱壳
__ys的博客
06-02 1347
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方法: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
RE入门之脱壳——手脱UPX壳
weixin_45986910的博客
08-14 3253
很多加了壳的软件是很难逆向分析的,需要手脱。下面以UPX壳为例简单介绍一下如何手动脱壳 需要工具:x64dbg。 拿到程序以后使用x64dbg打开。
2022CTF培训(一)脱壳技术&Hook入门
sky123博客
11-16 1716
绝大多数加壳程序会在被加密的程序中加上一个或多个段(Section),在最后跳转至 OEP 时一般都是通过一个跨段跳转指令进行转移,所以依据跨段的转移指令(JMP 等)就可找到真正的入口点,并且在该跳转指令前一般会有 POPAD / POPFD 指令出现(恢复入口现场)。在 x32dbg 中 Ctrl+B 搜索E9找到长跳转指令在该位置下断点后执行即可进入程序真正的入口点,此时程序已完成脱壳。使用 Scylla 将程序 dump 下来。
ISCTF2023--RE--crackme(手把手教你手脱upx壳)
noobxiaomeng的博客
12-03 858
CTF新手向手脱upx壳
2023新年快乐代码特效大全
01-01
新年快乐代码特效2023 ...2023新年快乐代码特效大全2023新年快乐代码特效大全2023新年快乐代码特效大全2023新年快乐代码特效大全2023新年快乐代码特效大全2023新年快乐代码特效大全2023新年快乐代码特效大全
Python新年快乐炫酷烟花秀代码
01-04
先介绍下 Pygame 绘制烟花的基本原理,烟花从发射到绽放一共分为三个阶段: 1,发射阶段:在这一阶段烟花的形状是线性向上,通过设定一组大小不同、颜色不同的点来模拟“向上发射” 的运动运动,运动过程中 5个点被...
小孩新年快乐flash动画
07-24
标题中的“小孩新年快乐flash动画”表明这是一份与新年庆祝相关的Flash动画作品,特别针对儿童群体。在描述中提到的“过年喜庆小孩子放鞭炮动画素材下载”,我们可以推测这个Flash动画的内容是描绘了孩子们在春节...
新年快乐PSD模板
09-03
新年快乐PSD模板是设计者们为庆祝新年而创作的一种图形设计资源,它通常包含多个图层和设计元素,使得用户可以根据自己的需求进行编辑和定制,以制作出独特的新年贺卡、海报、社交媒体封面等视觉内容。在设计领域,...
HZNUCTF REVERSE Signin题解——upx壳区段改名修复,动态调试脱壳
OrientalGlass的博客
04-02 1427
这个程序需要下两次硬件断点才能找到oep,老的upx加壳程序上来就可以找到pushad指令,但是这个程序刚运行时没有pushad指令,所以需要先找到pushad所在位置。按f9运行,可以发现程序停在了816f处,这里有popad,栈平衡以及jmp指令(跳转到153f处,很显然是大跳转,应该是跳转到oep)如果直接用upx脱壳会失败,后来才知道这是upx壳改了upx区段名,其实exeinfope这里也找到了upx的特征,已经有过提示。按f8,然后按照上面的操作,再给esp指向的内存单元下一个硬件访问断点。
[系统安全25]脱壳技术
17bdw的编程备份笔记
07-15 46
1、寻找OEP 想要比较快速精准地寻找OEP,要熟悉不同语言、不同编译器的OEP特征。 1.1、利用内存断点 通过在.text段设断点的方式来找出是哪段代码正在操作此区段中的数据。一般情况下壳的Stub部分与宿主程序的代码段往往不在一个区段中,因此当我们在Stub部分所在的区段中发现了指向宿主程序代码段的跨段跳转时,就代表我们已经找到OEP处了。 实践脱壳:A1Pack Base壳 Demo13...
BUUCTF逆向题刷题记录(一)
又菜又爱倒腾的博客
11-02 500
#BUUCTF逆向题刷题记录(一)# 一、reverse1 下载reverse_2文件,拿到后丢进exeinfo PE,为64位 用IDA x64打开 shift+F12 查看所有字符串,搜索flag 双击进去 x查看交叉引用,跳到该处,F5查看伪代码 发现存在字符串替换,r将ASCII码转换为字符。分析伪代码发现str2即为flag,但字符串str2中的’o’被替换为了’0’ 双击跳到Str2处,将字符串替换后得到flag 二、reverse2 下载reverse_2文件,拿到后丢进exeinf
【How2RE】 UPX壳及脱壳方式
Jeongon的博客
11-15 1265
RE入门,UPX壳
病毒分析常用技巧-修复内存dump文件
Sven的忘却日记
11-13 3871
病毒常用的技俩之一就是创建一个傀儡进程,借助傀儡进程,执行自己的恶意代码。 其实现方法: 1.以挂起方式创建一个进程 2.写入一个PE文件到这个挂起的进程的内存,可能会使用API WriteProcessMemory或MapViewOfSection那一套API来完成这个操作 3.调用ResumeThread恢复进程执行 对付这种我们可以在它写入数据到目标进程时下断点,例如WriteProcess...
BUUCTF-Reverse Writeup【持续更新】
skysys的研究小屋
01-27 902
BUUCTF 二进制刷题
windows 脚本拖壳-01
不会写代码的丝丽
05-29 896
概述 本文会利用x32dbg 脚本脱掉一个加壳后的exe. 软件运行后: 我们这里的目的不是在于点击注册后,显示破解成功。而是将其加密后的原始程序还原回来。 看段数据很明显,进行自定义段操作 导入表为空,证明我们dump程序后需要还原导入表。 我们将其拖入x32dbg中. OE:直接执行了pushad操作,证明壳程序想保护上下文,而后运行中还原。 pushad 将所有寄存器保存到栈 pushfd 保存标志寄存器保存到栈 我们首先运行到第二行pushfd,然后给esp设置硬件访问断点. 思想
Html新年快乐代码
02-10
HTML新年快乐代码是一种通过HTML和CSS来实现的特殊效果,可以在网页上展示出“新年快乐”的字样。以下是一个简单的示例代码: ```html <!DOCTYPE html> .fireworks { font-size: 100px; color: red; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值