手脱压缩壳UPX的4种查OEP方法

最新推荐文章于 2022-03-24 14:23:31 发布
最新推荐文章于 2022-03-24 14:23:31 发布
阅读量655 收藏 2
点赞数 1
分类专栏: 壳技术 文章标签: UPX 脱壳 OEP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40163937/article/details/97882332
版权

目录

 

先使用PEid进行查壳,可以看出壳的详细信息

方法一 单步跟踪

方法二 ESP定律法

方法三 两次内存镜像法

方法四 一步直到法

先使用PEid进行查壳,可以看出壳的详细信息

 

方法一 单步跟踪

打开软件,发现pushad指令,如果未发现,在软件中运行一下,就会到pushad,然后一直进行向下单步操作

发现有向上循环,在其循环的下一行,右键断点,F4在此行运行

循环进行上述操作,直至找到出栈命令,再往下进行查找,找到jmp跳转,发现跳转很大,疑似OEP

发现下图这种界面,可右键单击分析,取消分析,就可以在灰色地方看见代码,在鼠标所点地方,右键单击OllyDump进行脱壳

注意:复制修正入口点,以防表错误,重载输入表可不勾选

方式1脱壳

可运行且已脱壳

方式二脱壳

发现方式二无法运行,打开软件,准备修复

方法二 ESP定律法

 

 

点击菜单调试--硬件断点--删除硬件断点

方法三 两次内存镜像法

 

 

方法四 一步直到法

 

HOPEAMOR
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
用PEID检测不出来的的脱法详解
12-23
用PEID检测不出来的的脱法详解. 文件
压缩工具UPX编译及使用实例
D_Flash的博客
08-24 7683
压缩工具UPX编译及使用实例
简单脱壳教程笔记(2)---手脱UPX(1)
热门推荐
oBuYiSeng的博客
03-18 1万+
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%
upx命令行版本脱壳全过程
guobingk的博客
03-28 7006
这是一个需要脱壳的文件,可以看到是加了upx的。 首先打开cmd命令行。 然后进入upx.exe所在的目录。 代码如下: dir查看upx文件夹 可以看到upx.exe,启动它。 出现这样的界面就可以开始脱壳了。 将需要脱壳的文件也放在upx文件夹内,我这里的样例是ceshi.exe 使用代码upx -d 文件名 这时候就脱壳成功了,把它再放进exeinfope看一下 可以看到已经 提示Not packed。 ...
UPX快速定位OEP
fa1c4的blog
03-04 329
两种技巧 都是基于PUSHAD/POPAD的指令特点. 朴素跟踪一遍解压缩过程, 可以发现EP代码都是在PUSHAD/POPAD指令之间, 所以解压完之后跳转到OEP的这一短暂过程就发生在POPAD和JMP指令之间. 基本思想就是断点到POPAD之后. 一 在POPAD指令之后的JMP指令处下断点, 执行就完成了解压过程, 再跟进就是OEP 可能会有多个POPAD指令, 一条条下来发现其后接JMP的那一条大概率就是 跟进之后验证知道OEP是0100739D. 二 在PUSHAD命令后查看栈, 可以看到
快速查UPXOEP方法(一)
蜂刺
10-27 979
方法UPX压缩器的特征之一是,其EP代码被包含在PUSHAD和POPAD之间,并且跳转到OEP的JMP指令会紧接着出现在PUSHAD指令之后,我们只需要到符合以下两点条件的JMP指令并设置断点就可以顺利OEP: 条件一:这条JMP指令上方几条指令内有PUSHAD 条件二:这条JMP指令跳转到主程序空间内,且跟随后第一条指令是push XXX 方法方法二也利用了PUSHAD \P
脱壳笔记-寻OEP方法总结
走在成长的路上
01-03 7292
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
脱壳 OEP 程序的入口点
比尔丁子
03-02 3544
OEP:程序的入口点,软件加就是隐藏了OEP(或者用了假的OEP), 只要我们到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点        POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般到这个OEP就在附近拉。 常见寻OEP脱壳方法  方法一:  1.用OD载入,不分析代码!  2.单步向下跟踪F8,是
experiment : EXE使用UPX后, 用OD查OEP
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
06-30 2468
测试程序 #include "stdafx.h" #include #include int _tmain(int argc, _TCHAR* argv[]) { _tprintf(L">> tmain\r\n"); do { _tprintf(L"loop here not need quit\r\n"); ::Sleep(100
upx
weixin_63282980的博客
03-24 1546
ELF等文件查
UPX工具---超级压缩工具---亲测可用
12-27
是一个非常全面的可执行文件压缩软件,支持 dos/exe、dos/com、dos/sys、djgpp2/coff、 watcom/le、win32/pe、rtm32/pe、tmt/adam、atari/tos、linux/i386 等几乎所有平台上的可执行文件,具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较。
UPX____压缩
08-05
UPX压缩。可以压缩exe,dll等等文件,要的下载把
upx-3.94-src.zip_UPX_UPX 3.94 压缩_linux 压缩_upx src_加
09-21
UPX压缩 源码,可以给ELF文件加,对程序进行一些保护
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
UPX 压缩图形工具(2023-02-14)
02-14
UPX 压缩图形工具(2023-02-14) 只需要两步即可实现exe文件的压缩(1:选择文件;2:执行压缩),选择文件也可以直接拖动文件到窗体即可! 1. UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序...
工具GUI UPX EXE压缩
10-22
UPX Easy GUI是受欢迎的一个GUI UPX EXE压缩机。界面非常简单,用户友好的,它提供了最容易获得记录UPX参数不需要使用命令行。 软件也可以添加在Windows资源管理器的上下文菜单选项“UPX简单的GUI压缩”和“减压...
Python基于PyQt5和SMTP协议实现邮件发送程序案例源码.7z
04-17
该程序采用了Python的smtplib模块和pyqt5模块,实现了自动登录QQ邮箱的功能,并且支持向其他QQ邮箱或如网易邮箱等其他类型的邮箱发送文本邮件和附带文件的邮件。
2024年全球胚胎移植玻璃化冷冻介质行业总体规模、主要企业国内外市场占有率及排名.docx
04-17
2024年全球胚胎移植玻璃化冷冻介质行业总体规模、主要企业国内外市场占有率及排名
多式联运 (1).zip
最新发布
04-17
多式联运 (1)
python pyinstaller upx压缩
09-08
Python PyInstaller是将Python代码转换为独立可执行文件的工具,而UPX是一种用于压缩和解压缩可执行文件的工具。使用PyInstaller时,我们可以选择是否使用UPX进行压缩。 使用UPX压缩在一定程度上可以减小可执行文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值