用Pin对二进制文件自动脱壳

已于 2023-07-31 10:35:19 修改
阅读量498 收藏
点赞数
分类专栏: Linux服务器安全 文章标签: linux IntelPin 脱壳
于 2023-05-16 21:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/130701588
版权

Intel Pin

Intel Pin在可执行二进制代码中插入一些探测函数,用于观察、记录、分析宿主代码执行过程中的一些与计算机体系结构相关的特性,如访存指令,寄存器内容,寄存器地址等,通过Pin提供的API可以编写各种分析函数,这样程序运行完以后,统计和分析结果也同时产生,分析数据处理结果,获取有价值的学术成果和科研结论,可以将其应用于整个计算机体系结构的技术革新和进步。

壳的作用

加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。
但是某些病毒木马程序也利用加壳技术来躲避杀毒软件的查杀。

本篇文章使用upx3.91对linux的/bin/ls程序进行加壳,并使用Pin完成动态脱壳。

实现原理

在这里插入图片描述
对于上述可执行文件加壳器的步骤描述如下:

1)首先使用插桩实现对可执行文件运行过程中全部内存写入指令的跟踪,记录内存访问类型(写入或执行)和写入字节的值。稍后在脱壳过程中,当脱壳器将内存转储到磁盘时,需要合并相邻的内存字节,因此需要记录内存块的基地址、大小及访问权限。
2)使用插桩实现对间接分支指令和call调用指令的跟踪,如果跳转指令的目标地址位于一次性写入的内存区域中,那么它很可能是向OEP的跳转。通过跟踪来检查跳转指令分支的目标地址是否为先前可写的内存区域。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
frida脱二代数字壳全流程
siphre
01-05 2659
闲谈 drizzleDumper只能整体脱一代数字壳,原理是DEX整体脱壳,一代壳市面上较少见。 二代数字壳可能是分段式Dex,据说frida和Xposed能脱,Xposed的环境搭建条件苛刻,似乎要真机、root、Android低版本,不知道是不是真的,反正我是怕了,先Frida走一波。(frida是一款基于python + javascript 的hook框架,可运行在android、io...
pin:使用Intel Pin工具分析二进制文件
05-20
#Intel Pin Tools basic usage Building Environment 下载解压缩就可以使用不用另外安装将解压缩出来的资料夹加入$PATH What Is Pin pinintel 开发的一个binary analysis framework支援x86/x64 & windows/linux/mac pin 提供许多分析binary 用的api使用者可以用C/C++ 呼叫api 来撰写自己的pintool Run Sample Code source/tools是pintools的预设路径底下已经有一些现成pintools可以使用 根据README 的步骤来操作: cd source/tools/SimpleExamples make obj-ia32/opcodemix.so //编完的pintool是一个share object存在obj-ia32底
二进制脱壳
10-06
主要写的是脱壳有关关的方法哦,我是二进制安全方面的学生,大家都可以看一看.
bin文件查看器app_脱壳别人的APP
weixin_39851048的博客
11-14 2144
一.为什么要脱壳别人的APP1.:我们从App Store下载的应用,是有Apple进行了FairPlayDRM数字版权加密了的。2.:作为从事app开发的人员,如果我们看到其他人的APP某个不错的效果想看看他们是怎么实现的,或者我们想看看它使用了那些第三方,或者甚至我们想要编写插件,例如去广告,变会员等等。我们就需要探索它的UI层级,使用类的类名和方法,代码编写的逻辑等等。而这些工作我们需要借助...
【9】最完整的二进制插桩理论介绍和实例分析:指令流分析器+二进制文件脱壳
最新发布
zitong0705的博客
09-08 1462
吐血整理二进制插桩理论及实例,实例部分的分析内容还不够完整,后期找时间补上!
脱壳_详细_使用的方法_02
weixin_30654419的博客
06-13 298
ZC: 需要将 每节课 里面 脱的每种壳 使用了哪些方法都记录下来 1、第6课   基础脱壳教程6:手脱EZIP 壳   (1)、单步     (A)、【510】【02:50】入口点是否找错       【550】【03:03】"d 4064F4"。向上拉,拉到全等于零的哪一个... 最后来到的是地址0x4062E4       【640】【03:33】importREC 显示的...
aflpin:aflpin 使 afl 能够使用 pin 工具对黑盒二进制文件进行模糊测试以跟踪执行分支
06-28
AFLPIN 使 AFL 模糊器 ( ) 能够使用英特尔的 PIN 对非检测二进制文件进行模糊测试。 它通过插入 AFL 添加到检测二进制文件的相同类型的分支检测和共享内存映射来实现。 不幸的是,这样做会大大降低 AFL 的性能,...
PIN 二进制插桩平台
04-25
PIN二进制插桩平台是一种强大的动态分析工具,主要用于软件分析和性能监控。它由英特尔公司开发,旨在为研究人员和开发者提供深入洞察程序执行的能力。PIN平台的核心功能是插桩(Instrumentation),这是一种技术,...
ocamlformat-vmux:适用于OCamlformat二进制文件的版本Mulltiplexer
04-04
该项目提供了一个解决此问题的可怕技巧:安装所有版本,并提供一种可在运行时代理到适当版本的shim ocamlformat二进制文件。 在$PATH使用此填充程序,您可以停止在Opam交换机中安装OCamlformat :party_popper: 用法...
动态二进制分析与插桩原理介绍(PDF)
12-02
建议读者深入阅读这份文档,了解如何使用工具如Pin、Valgrind或LLVM的libFuzzer等进行动态二进制插桩。 “介绍.txt”可能是一个简短的介绍,概述了主要内容或者提供了阅读指导。 总结起来,动态二进制分析与插桩是...
get_dll_from_dumped_bin解密工具.rar
09-02
软件介绍: get_dll_from_dumped_bin通过直接提取内存来实现dll文件解密,能直接在模拟器中提取,压缩包内已包含模拟器提取内存所需软件,提取内存bin文件后将get_dll_from_dumped_bin.exe放到同一文件夹下运行即可。GameGuardian.8.55.1_for_Nox.apkgameguardian-8-2-1.apkget_dll_from_dumped_bin.exe
upx查壳去壳
weixin_63282980的博客
03-24 1706
ELF等文件查壳
CTF-RE baleful (pin打桩+虚拟机+upx脱壳
SuperGate的博客
07-21 1552
本文部分借鉴文章:https://firmianay.gitbooks.io/ctf-all-in-one/src/writeup/6.2.5_re_picoctf2014_baleful#%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99 首先查看文件信息 supergate@ubuntu:~/Desktop/task1$ file baleful baleful: ...
加壳工具简介
Hank's Techblog
10-15 4006
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 <br />2.软件加壳工具介绍: <br />II 压缩壳介绍: <br />常见压缩壳有:ASPack、UPX、PeCompact、N
DLL文件脱壳(重定位表修复部分)
yizhenweifeng的专栏
02-15 1万+
标 题:DLL文件脱壳(重定位表修复部分)作 者:kanxue 时 间:2008-03-16 10:42 链 接:http://bbs.pediy.com/showthread.php?t=61334   13.5 DLL文件脱壳   DLL文件脱壳与EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位表等要考虑。   在2003年出版的《加密与解密》(第二版)中以
linux .bin文件反编译,ARM的BIN文件反汇编方法
weixin_28922555的博客
04-28 4792
最近在调试uboot的代码时,用的新版本的uboot,lowlevel_init函数里是空的,而且在链接文件中也没有发现对lowlevel_init.o的链接。在bl lowlevel_init 之前和之中加了两个电灯,发现在bl之后的部分并没有被执行,所以想看看具体程序有没有运行这个函数。在网上找反汇编bin文件的时候发现有朋友提供的方法,很好用。使用arm-linux 工具链里面的arm-li...
.bin文件的反汇编记录
热门推荐
neko是只小菜鸡
08-26 1万+
前言 原本打算把IDA的使用与技巧写完,发现其实网上也有很多,这就以后再议吧(主要还是懒+拖延症吧…) 工作需要接触的逆向,从开始到现在做的一直是elf格式文件,也不需要脱壳,感觉也比较简单。 前两天朋友托帮忙看一个.bin,发现自己现在掌握的其实仅仅冰山一角。将此次工作记录,便于日后学习查阅。 一、 一些相关知识点 bin、hex、elf文件 bin文件二进制文件,是文件格式binary的缩写,后缀名为".bin"的文件,表式它是binary格式。通常来说,它的内容是机器代码,汇编语言编译后的结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值