一篇学会脱壳——06.exe脱壳

已于 2023-07-14 11:31:25 修改
阅读量7k 收藏 10
点赞数 1
分类专栏: Windows逆向 文章标签: 脱壳 加密壳
于 2019-09-07 20:48:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/100606592
版权

本篇使用的壳程序有花指令混淆,IAT加密和反调试,是一个很好的教学练习壳,这里详细写下脱壳步骤。

结论(新手脱完壳子再看)

壳的IAT加密原理:一般壳代码会申请一段堆空间,用来执行解密代码解密出来真正的API地址,把程序的IAT表改成申请的堆空间地址。程序在正常运行的时候CALL会到这个堆空间执行解密,这样才能正确获取API地址。壳相当于给程序套上了头箍。

对于IAT加密壳我们要找三个关键点:获取API函数地址位置、加密IAT位置(不是必须)、填充IAT位置。

我们的思路:在壳获取API函数地址时,把它偷走拷贝一份到变量中,当壳忙活一顿加密操作之后,准备填充加密后的地址(壳申请的堆空间)到IAT中时,我们把它给换成原来的API函数地址。这样,壳代码等于没加密。

实现方法:OD脚本。因为IAT加密是个工作量很大的循环,我们也只能写代码改变它。

06.exe脱壳

首先拖进OD,发现稍微移动紫色光标,代码就会变形。
在这里插入图片描述
这是由于OD对数据和代码有多个解析结果导致的,遇到这种情况最好不要乱动,按ctrl+up键微调
F7一步,看到了popad,ESP下硬件断点先试试ESP定律吧,F9运行发现跑完了,于是就应该想到硬件断点可能被干掉了。
我们需要更详细的信息。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
用于对C#,.net开发的程序进行脱壳
11-02
用于对程序进行脱壳,学习使用,切莫用于商业,望对你有所帮助。
06.exe脱壳训练程序
09-08
脱壳训练程序脱壳训练程序
WinForm(C#)应用程序之(破)脱壳和修改
gongjing457
04-02 9340
目录 一、场景描述 二、具体操作过程 1.需要准备的软件: (1)de4dot (2)dnSpy .NET 调试器和汇编编辑器 2.具体步骤 三、实测效果 注意事项: 从网络来源找来的Winform桌面应用程序,编写语言是C#/C Sharp! 一、场景描述 从网络来源搜寻来的Winform应用程序,编写语言是C#/C Sharp,想改掉它的应用程序的Logo、以及界面的图片内容、窗体的标题等信息。 二、具体操作过程 1.需要准备的软件: (1)de4dot de4do...
简单脱壳教程笔记
A powerful and unconstrained style
08-18 7362
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加 2、脱壳
EXE Pack ——脱壳
sxr__nc的博客
12-12 1759
0x00 查看程序信息: 程序运行状态: 0X01调试器调试 一路F7,可以来到程序解密数据的代码,通过反汇编窗口可以实时的跟踪被修改的数据情况: 之后F7 进行单步调试,可以看到很多API函数的调用,在这里需要注意的是,CreateProcessA函数的调用,会新建一个与现有进程名字一样的新进程: 这个进程其实是一个守护进程的作用,在创建进程之后,就会退出当前进程,所以我们要做的操作...
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 4384
历史:是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
脱壳--02.exe
weixin_45012273的博客
02-08 805
程序开始 使用OD打开程序 发现无法利用esp定律 程序直接运行 查找模块间调用 随便找到一个函数的调用 发现是FF15方式调用 所以是vs的程序 vs程序大致分成两种 vs20xx (特征函数:GetSystemTimeAsFileTime)和 vc++6.0(特征函数:GetVersion) 通过链接器版本 发现是vc6.0 直接在GetVersion上下断点 重新运行程序 断点断下 返回到调用处 vc6.0和易语言的第一个CALL都是GetVers...
逆向破解程序脱壳篇-压缩
iqiqiya的博客
04-11 6127
一、普及What?所谓“”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的。WHY?① 对程序专门进行...
常见几种脱壳方法.pdf
最新发布
09-03
在这篇文章中,我们将讨论常见的脱壳方法,包括压缩加密两种类型的脱壳是指从程序中删除保护的过程。 一、概论 的出现是程序作者想对程序资源进行压缩和注册保护的目的,因此可以把分为压缩和...
自动核桃脱壳机设计-论文.zip
08-18
《自动核桃脱壳机设计》这篇论文主要探讨了农业机械化领域中的一个重要问题——核桃脱壳自动化。核桃作为营养价值丰富的坚果,其采摘后的处理过程对于提高生产效率和降低成本至关重要。自动核桃脱壳机的设计旨在实现...
exe文件脱壳步骤txt下载
01-07
脱壳 步骤 脱壳步骤 的概念: 所谓“”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的的作用: 1.保护程序不被非法修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测的软件 PEID v0.92 这个软件可以检测出 450种 新版中增加病毒扫描功能,是目前各类查工具中,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的 下面进行 步骤2 脱壳 对一个加了的程序,去除其中无关的干扰信息和保护限制,把他的脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳脱壳成功的标志 脱壳后的文件正常运行,功能没有损耗。 还有一般脱壳后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。 关于脱壳有手动脱壳和自动脱壳 自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了 手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的 不过它的脱壳机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符中输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外软件 UPX SHELL v3.09 UPX 外程序! 目的让UPX的脱壳傻瓜化 注:如果程序没有加 那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。 脱完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户中的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or
EXE程序脱壳工具
03-19
EXE程序脱壳工具
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩,压缩可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下了 004010EC > 68 CC624000 push srtmaker.004062CC ; VB5!6&vb6chs;.dll 004010F1 E8 EEFFFFFF call srtmaker.004010E4 ; jmp 到 msvbvm60.ThunRTMain 004010F6 0000 add byte ptr ds:[eax],al 004010F8 0000 add byte ptr ds:[eax],al 004010FA 0000 add byte ptr ds:[eax],al 004010FC 3000 xor byte ptr ds:[eax],al 004010FE 0000 add byte ptr ds:[eax],al 00401100 40 inc eax ; srtmaker. 这就是OEP,程序入口 然后打开LordPE 完整转存 然后打开IMPortREC 到此已经脱好了,请各位爽吧
脱壳的艺术
03-11
脱壳的艺术】这篇文章主要探讨了逆向工程中一个关键的环节——脱壳技术,它对于初学者和专业分析人员都是必备的知识。脱壳是指在逆向分析过程中,解除程序的保护层,通常是,以便深入了解程序的工作原理。可以...
一次脱PECompact 2.x - Jeremy Collake的记录.doc
12-31
这是一篇关于逆向工程领域的文章,聚焦于如何去除PECompact 2.x加的保护,以便对软件进行深入分析或修复。PECompact是一款流行的软件压缩工具,常用于减小可执行文件的大小,同时也被用作一种加手段,增加破解...
EXE、DLL文件的脱壳
平凡的心
03-29 9042
    这是因为文件使用了一些压缩加软件加密过,这就需要对文件进行解压脱壳处理后,才能汉化。这种压缩与我们平时接触的压缩工具如winzip,winrar等压缩不同,winzip压缩后的文件不能直接执行,而这种 EXE 压缩软件,EXE文件压缩后,仍可以运行。这种压缩工具把文件压缩后,会在文件开头一部分,加了一段解压代码。执行时该文件时,该代码先执行解压还原文件,不过这些都是在内存中完成的,由于
对一个加的可执行文件进行脱壳三种方法
任浩的博客
02-03 1808
1、自动静态脱壳:通过一些脱壳工具即可,相当于解压缩,最为方便快捷 2、自动动态脱壳:运行可执行文件,让脱壳存根的的文件脱出原始的可执行文件。 3、手动脱壳:找到加算法程序,自己分析源程序进行脱壳。 ...
.net C#反编译及脱壳常用工具--小结
Blue
04-06 9123
.net C#反编译及脱壳常用工具--小结
脱壳--03.exe OD脚本脱壳
weixin_45012273的博客
02-08 1275
和02程序类似 但是我们换一种方式脱壳 就是利用OD脚本脱壳 我们通过02程序知道代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat表中 在我们调用api的时候 并没有直接调用到api 而是加密后的api的代码 脚本的框架:只需要知道三个地址 获取真正api的地址 填写iat的地址和oep的地址 得到获取真正api的地址把api地址存放在一个临时变量里 中间不管他怎么加密 到填写IAT表的时候 都会填写我们事先保存的临时变量里的api的地址 我们现在只要调试出这三
exeinfo 怎么脱壳并查看exe用什么语言写的
07-28
脱壳是指将加的二进制文件还原为未加状态的操作。而exeinfo是一款用于查看PE文件信息的工具,可以用于查看被加的可执行文件的一些属性和特征。下面是脱壳并查看exe使用的一般步骤: 1. 确定目标文件:首先需要确定要脱壳的目标文件,可以是加的可执行文件。 2. 选择合适的脱壳工具:根据目标文件的加方式,选择适合的脱壳工具。市面上有很多脱壳工具可供选择,如:Unpacker、PEiD、OllyDbg等。 3. 运行脱壳工具:根据选择的脱壳工具的使用方式,将目标文件加载到脱壳工具中进行处理。 4. 进行脱壳操作:根据脱壳工具提供的功能,执行相应的脱壳操作。一般情况下,脱壳工具会自动识别出目标文件的加方式,并进行相应的解操作,将目标文件还原为未加状态。 5. 使用exeinfo查看文件信息:脱壳完成后,使用exeinfo工具打开目标文件,可以看到文件的基本信息,如文件大小、文件类型、文件头信息等。部分工具还可以查看更加详细的信息,如导入表、导出表、节表等。 通过查看exeinfo提供的信息,可以初步判断目标文件是用何种语言编写的。根据文件的标志和特征,可以判断出是否是使用C/C++、C#、Delphi等语言编写的。 需要注意的是,脱壳和查看文件信息都需要一定的技术和经验,对于安全研究人员和逆向工程师可能比较熟悉,但对普通用户来说可能有一定难度。同时,在进行这些操作时,请务必遵循相关法律法规,确保自己的操作在合法、积极的范围内。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值