ELF64手脱UPX壳实战

已于 2024-08-08 21:45:01 修改
阅读量328 收藏 4
点赞数 4
分类专栏: CTF_REVERSE 文章标签: c语言 安全 网络安全
于 2024-08-08 21:41:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41683953/article/details/141036744
版权
基础

作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!

壳的执行过程

加壳压缩,壳先执行,还原源程序,执行源程序

OEP
EP(Entry Point)

即程序的入口点。而OEP是程序的原始入口点,正常的程序只有一个EP,例如:C语言main函数

只有入口点被修改的程序(加壳等),才会拥有OEP。

OEP(Original Entry Point),

程序原始入口,软件加壳就是隐藏了EP, 只要我们找到程序的OEP,就可以立刻脱壳。

PUSHAD(压栈) 代表程序的入口点,POPAD(出栈) 代表程序的出口点,

一般找到PUSHAD这个地方基本上就是OEP

脱壳

执行程序是这个流程,错误没回显
在这里插入图片描述

发现是有UPX壳的

在这里插入图片描述

使用IDA打开也是很明显的UPX加壳特点,如(ABCD)段加壳->(12CD)段

在这里插入图片描述

在start处下断点,然后开启远程linux调试

在这里插入图片描述

一直F8步过,然后过程中像这种循环会有很多个

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

直接在尾部要退出的地方下断点然后F9直接跳过循环的地方

在这里插入图片描述

过程中有很多次,一直这样操作就行,直到遇到一个jmp 寄存器的

在这里插入图片描述

可以看到跳回了原来程序的地址

在这里插入图片描述

然后会执行一次syscall

在这里插入图片描述

然后跳回来的这个地方,可以发现和我最开始下断点的汇编很像,这里就是start处(OEP)

在这里插入图片描述

这个时候看他的file format头(\x7fELF)和入口点,都已经还原了
在这里插入图片描述

然后使用IDC脚本dump出来

在这里插入图片描述

#include <idc.idc>
#define PT_LOAD              1
#define PT_DYNAMIC           2
static main(void)
{
	auto ImageBase, StartImg, EndImg;
	auto e_phoff;
	auto e_phnum, p_offset;
	auto i, dumpfile;
	ImageBase = 0x400000;
	StartImg = 0x400000;
	EndImg = 0x0;
	if (Dword(ImageBase) == 0x7f454c46 || Dword(ImageBase) == 0x464c457f ) {
		if (dumpfile = fopen("G:\\dumpfile", "wb"))
		{
			e_phoff = ImageBase + Qword(ImageBase + 0x20);
			Message("e_phoff = 0x%x\n", e_phoff);
			e_phnum = Word(ImageBase + 0x38);
			Message("e_phnum = 0x%x\n", e_phnum);
			for (i = 0; i < e_phnum; i++)
			{
				if (Dword(e_phoff) == PT_LOAD || Dword(e_phoff) == PT_DYNAMIC)
				{
					p_offset = Qword(e_phoff + 0x8);
					StartImg = Qword(e_phoff + 0x10);
					EndImg = StartImg + Qword(e_phoff + 0x28);
					Message("start = 0x%x, end = 0x%x, offset = 0x%x\n", StartImg, EndImg, p_offset);
					dump(dumpfile, StartImg, EndImg, p_offset);
					Message("dump segment %d ok.\n", i);
				}
				e_phoff = e_phoff + 0x38;
			}
			fseek(dumpfile, 0x3c, 0);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fseek(dumpfile, 0x28, 0);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fputc(0x00, dumpfile);
			fclose(dumpfile);
		} else Message("dump err.");
	}
}
static dump(dumpfile, startimg, endimg, offset)
{
	auto i;
	auto size;
	size = endimg - startimg;
	fseek(dumpfile, offset, 0);
	for ( i = 0; i < size; i = i + 1 )
	{
		fputc(Byte(startimg + i), dumpfile);
	}
}

dump出来的也可以正常运行

在这里插入图片描述

然后就是正常的逆向分析

在这里插入图片描述

默文wen
关注
专栏目录
MSF编码与upx过杀软
悦分享
08-03 2374
本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成器msfvenom),以及对攻击载荷进行免杀、加处理,从而突破杀毒软件。
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
最新发布
HACKONE的博客
04-10 354
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
upx手动脱壳
qq_36963214的博客
10-26 6902
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加 upx src.exe -o dst.exe命令将src.exe加并另存为dst.exe upx手动脱壳
手动脱UPX
webcenterol
02-06 198
手动脱UPX write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移...
UPX脱壳
Zbw_OIer的博客
11-28 1567
什么是加是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加一般分为两类,一种是加密加,其目的就是为了防止逆向而存在的一种。另外一种就是压缩,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩UPX脱壳可执行文件 UPX sample.exe 脱壳执行文件
UPX手动脱壳
宇丁加
07-07 320
就是一道逆向的简单脱壳题, 由UPX加的。然后就要进行脱壳, 想着手动脱壳 熟悉一下UPX的原理。 首先UPX就是压缩原程序的大小。 UPX就是在 原程序头部或者 其他地方插入一段代码,这段代码是用来解析后面被加密的代码(这种加密使原来的代码量变小)。 1是插入的代码,234是 被加密的代码,56是其他 1 2 3 4 5 6 1 7 8 9 5 6 789是原代码。 在程序执行时,通过1处的代码对后面的代码进...
手动脱UPX 实战
weixin_33797791的博客
08-07 134
作者:Fly2015 Windows平台的加软件还是比較多的,因此有非常多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳。首先第一步就是 查。然后才是 脱壳。 推荐比較好的查软件: PE Detective 、Exeinfo PE、DIE工具。   须要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52poji...
linux软件逆向分析,详解对ELF64之手动脱壳的逆向分析
weixin_30420045的博客
05-07 1359
应一位朋友之邀,对“吾爱论坛‘ELF64手脱upx实战’一文”进行了再重现,考虑到朋友他对原文过程理解不深,特抽空行文,着重对每个步骤、每个知识点进行了分解,现共享出来以回馈社会;同时此文对IDA远程调试、编写idc脚本有指导作用。原文:https://www.52pojie.cn/thread-1048649-1-1.html,是一篇打了精华标签的帖子,我希望你不要看作者写的,因为你如果按文中...
看雪『Android安全』板块 2018 年优秀和精华帖分类索引
墨鱼菜鸡
07-11 894
转载:https://bbs.pediy.com/thread-249602.htm [推荐]『Android安全』版2018年优秀和精华帖分类索引 文章筛选和评价仅代表个人观点,欢迎指正。 列表不定期更新,欢迎自荐~ 2018年 1.逆向技术基础 Frida操作手册-Android环境准备 Frida hook方便快捷,并且跨平台,可以学习一...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1312
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
upx(脱壳工具)
10-29
upx(脱壳工具)
UPX脱壳 UPX脱壳 UPX脱壳 UPX脱壳 UPX脱壳教程
03-28
UPX脱壳 UPX脱壳 UPX脱壳 UPX脱壳 UPX脱壳教程
如何用x64dbg UPX手动脱壳64位)
Pisces50002的博客
12-23 1516
先点“IAT Autosearch”,再点“Get Imports”,在“Imports”中删除掉带有红色叉叉的,再点击“Dump”,之后“Fix Dump”选中之前的Dump文件,修复成功。XP后的系统都有ASLR(地址空间随机化),导致dump后程序运行出错,因此我们首先用CFF Explorer修改该文件的Nt Header,禁用ASLR。如果想把字符串展开看,可以(退到IDA View-A中)修改Segment,取消w勾选。F9运行到断点处,看到下面的jmp大跳应该是入口,设置断点,F9跳过去。
upx脱壳
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
01-16 992
upx的oep一般是在popad后面最后一个跳转指令的目的地址。主要的难点在于导入导出表的修复,此处使用了x64dbg中的scylla插件。找到oep之后,需要将pe文件在内存中的数据DUMP出来,但是此时dump出来的文件需要修复导入导出表。工具:通过x64dbg来实现,主要是想利用scylla插件来修复PE文件。脱壳原理:esp平衡。
ELF-64对象文件格式详解
"ELF-64.pdf - 64ELF对象文件格式,版本1.5草案2,1998年5月27日" ELF(Executable and Linkable Format)是一种广泛用于多种UNIX和其他类UNIX操作系统,如Linux、Solaris等的可执行文件和链接格式。它为编译器、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值