【逆向】【UPX】【ODdump】硬件断点后内存转储程序无法运行成功解决及脱壳步骤

最新推荐文章于 2022-06-19 21:59:26 发布
最新推荐文章于 2022-06-19 21:59:26 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 软件安全与逆向分析 文章标签: 脱壳 UPX OD 内存转储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43633973/article/details/102708304
版权

目录

问题如下:

解决:

总结:

问题如下:

脱壳的时候我下了硬件断点:在PUSHAD的下一步查看ESP,OD的左下角goto到esp指向的地址,然后右键下硬件断点。

这样再运行很容易就直接定位到了POPAD,看起来都挺顺利的,很容易找到了OEP的位置。但是内存转储出来的exe打开无效果不运行,在110版本的OD中提示:“has entry point outside the code(as specified in the PE header)”。晚上我和同学讨论了下,他可以正常脱壳,我看到他是直接F8一点点一点点的找,最后找到POPAD的位置,或者CTRL+F直接搜索POPAD然后找到地址,dump。没有下断点,我也用他的电脑试了下,可以。但是我在他的电脑上也设置硬件断点之后,就和我的状况一样了。后来我取消硬件断点,把硬件断点都删除,直接dump,因为OEP的地址一直都是1332。也不行了。

我在这个上面发了求助,里面是我的具体问题:

https://www.52pojie.cn/forum.php?mod=viewthread&tid=1042292&page=1#pid28293988

解决:

解决的帖子:https://zhidao.baidu.com/question/691492835131194084.html

https://www.52pojie.cn/thread-525321-1-1.html

WIN7已经验证可行了,再去我的32位虚拟机看看,顺便给虚拟机都做一次spa(把不用的垃圾都去掉,然后整理一下文件),直接运行程序时出现下面的问题:

解决方法:搜索Microsoft Visual C++ 2010 Redistributable Package ,安装即可。https://www.microsoft.com/zh-CN/download/confirmation.aspx?id=5555

还未解决,参照:解决方法:https://www.cnblogs.com/hrhguanli/p/3886490.html 

然后就开始脱壳了。

我知道的并且可行的对于UPX的脱壳找OEP的几种方法:

1.pushad的下一步,找到esp的值,OD左下角goto过去,下硬件断点。然后再运行,直接定位到了popad那一部分。然后转到oep即可(即找到oep的地址),dump即可。

然后下断点:(跳过去选中第一个字节即可)

2.直接ctrl+f搜索popad直接看到oep的位置

3.利用ollybdg的dump插件,里面有一个找oep的选项(但这个偶尔我的不可行。),点击后运行也直接过去了。

4.手动ctrl+f8追踪,f7进入循环查看下断点,f9跳出继续走。直到看到oep。

 

以下硬件断点为例:

1.载入文件看到如下:

2.F7或者F8单步向下一步:

3.记录下esp的地址,到左下角goto

4.下硬件断点:

 5.F9运行,直接来到了POPAD的下面:

 6.记录下OEP的地址,或者可以f8一路向下,跳过那些小循环,来到OEP

7.内存转储 

8. 不用手动修改EIP了,因为已经跳过去了,注意下面直接勾选修复IAT的选项,虽然好像说UPX不选这个也没事,因为壳比较简单,但选上吧。点击脱壳即可。

 9.验证可否运行:

偶尔可以成功。什么鬼。dump了好几个,1是没有F8到OEP看到地址直接dump的,2是下面选择方式1的,3是正常跳过去不用自己修改eip的。三个有时候某一个可以正常执行。

出现的错误如:

指令引用的内存,该内存不能为read :

是不是我一次性dump的太多了,删掉重新来。

10.不知道为什么,发现对于XP系统选择方式1可以成功,方式二就会出现上面的错误

 如下:

去找一下方式1和方式2的区别:

https://www.pediy.com/kssd/pediy07/pediy7-659-5.htm 

https://max.book118.com/html/2017/0422/101701603.shtm

 

 https://www.docin.com/p-503474373.html

 最后看雪:https://bbs.pediy.com/thread-20165.htm

好吧,我其实有点想弄清楚到底区别在哪,现在我不care了?。不选方式就好了! 

 

总结:

1.尽量使用32位系统,win7系统。不要使用win10。

2.对于我等菜鸟,UPX脱壳无需勾选dump的方式1,2,自增烦恼

=====================

额,我又回来了,真是打脸。不选方式一XP系统还是无法执行出现这个错误:

啊!(╯‵□′)╯︵┻━┻

我去写作业了。 

江湖one Cat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
万能脱壳工具 - 一款在沙盒中运行脱壳工具
01-27
万能脱壳工具是一款自带虚拟机的脱壳工具,这款软件可以用于解包恶意程序进程深度分析,软件自带了虚拟机,就像是在沙盒中运行一样,不会对你的系统产生损害。如果你对系统的安全意识非常高,想要解包恶意程序的时候...
upx3.94手动脱壳
海阔天空
07-15 5037
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx加壳,使用ESP定...
壳与加壳脱壳基础知识
[智能天空教程区 Smart-sky]
06-28 2122
在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的
手动脱UPX壳的几种方法
十年磨一剑,霜刃未曾试!
05-05 5178
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法。1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置。要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到壳的循环当中,就出不来了。运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret。跳转之后的代码是popad,一般就是到
手动脱upx壳,出现invalid data in the file,用overlay 最终版修复成功
ewwerpm的专栏
03-20 1074
overlay 最终版 invalid data in the file 脱壳参考:手动脱upx壳 在脱3.96的壳的时候,脱完运行程序,出现“invalid data in the file”。这时候,下载个overlay 最终版,源文件选择 脱壳前的文件,目标文件选择 脱壳后的文件,点击 “复制overlay”,完美解决 ...
脱壳经历以及一些疑问
KD的疯狂实验室
02-28 1277
任务是:英化一个程序
OD脚本学习
weixin_30608131的博客
08-31 132
重要的 一般用得到的: $RESULT //返回值 cmp $VERSION, "1.47" ja `````` #INC "脚本名" #LOG //开始记录运行指令 ADD 目的,源 add [401000],5 //[4010000]+5 add x,16.50 add y,"times" alloc //申请内存 RWE alloc 1000 1000...
OD使用笔记
輚至消亡
06-26 1150
Alt+F9: 直接从系统模块飞回程序模块 Ctrl+F9: 执行到当前函数的结尾 F4: 执行到选中的语句处 内存断点的利用: 在数据上下的断点,如果读取或写入该数据则会断下来。 在内存窗口右键选Search, 在ASCII上输入内容,然后输入搜索内容 搜索到后,找到地址 下内存断点后点击运行即可 下断点的方法: 1. 命令方式 2. 搜索API设断点: 给API设置断点,一旦调用就会断下 搜索机器码 搜索Jmp命令 搜索命令 点..
二次内存镜像脱壳演示;找到OEP之后无法脱壳无法读取内存,Bad DOS Signature解决方法
uiop_uiop_uiop的博客
01-29 1078
刚开始直接F2设置中断,会出现无法读取内存,Bad DOS Signature的情况: 在Windows XP下尝试使用LordPE,修正镜像大小后再右键 完整转存也不行 F2断点无法dump内存,可以用内存断点:  再走一遍,点击上面的m:  run 再打内存断点 具体动画演示见:http://kxdkxd.f3322.net:8089/od.htm...
手动UPX脱壳演示
qq_41426887的博客
07-03 6971
首先,用PEid打开加壳后的程序CrackmeUPX.exe,可以发现使用的是UPX壳。UPX壳是一种比较简单的压缩壳,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
寻找OEP
for_mat_的博客
07-29 471
OD中打开00_upx.exe之后,到达的地方是PUSHAD,这个时候下一个断点,直接运行到这里,然后单步步过,再取消掉下好的断点: 此时,在右侧ESP处下一个访问断点: 下面黄色区域是修改堆栈的操作: 而下面的这个jmp就会直接跳转到OEP: 下面是jmp到达的地方: 运行到这里之后直接右键选择dump: 进行dump,取消掉重建输入表: ...
UPX加壳/脱壳程序
07-04
UPX原来是命令行程序,现在给UPX加壳/脱壳程序,增加图形界面外壳,方便使用
UPX压缩文件最新版图形界面源程序(Delphi 11)
02-17
EXE文件和DLL文件压缩工具UPX图形界面源程序,通过该程序能够获得: 详细参见:https://blog.csdn.net/sensor_WU/article/details/129022703?spm=1001.2014.3001.5501 1. 最新版Delphi 11.2源程序; 2. 学会将命令行...
upx脱壳机--用于upx脱壳
02-05
用于脱upx类壳,简单的脱壳工具,在Windows环境下可以使用
UPX自动脱壳工具(2019测试成功
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
OD dUMP对重定位的处理
陈刚编程心得与知识集
01-13 1157
OD内存镜像进行dump的时候是把重定位过的数据进行dump还是保留原PE文件中该位置的指令? 如果保留的是已重定位数据,那么下一次启动再次经过重定位数据不是错了吗。Dump过程中是否根据重定位信息还原数据。 那么壳破坏了重定位表时Dump又是怎样的?会根据是否是访问绝对地址而进行还原吗?
内存断点找OEP 问题 脱壳时提示无法读取被调试进程的内存 bad dos signature
一根火柴博客
02-03 8070
1. 本文要解决的问题是:    1.什么是内存断点?    2.如何在寻找OEP时使用内存断点。    3.内存断点的局限性。     2.内存断点寻找OEP的原理   i.首先,在OD内存断点硬件断点和普通断点(F2下断)是有本质区别的。硬件断点等效与SoftICE命令bpm,他的中断要用到DR0-DR7的调试寄存器,也就是说OD通过这些DR0-DR7的调试寄存器来判断是否断下
逆向学习 | OD And ESP(一)
萌狼蓝天の技术栈
05-04 257
知识储备 弹信息框 1.MessageBox A/W(消息框) 弹出网页 2.ShellExecute A/W(壳执行) 3.WinExec 4.CreateProcess A/W(创建进程) 5.CreateThread(创建新线程) 注册表操作 6.RegCreateKeyEx A/W (注册创建密钥) 7.RegOpenKeyEx A/W(注册打开密钥) 8.RegDeleteKeyEx A/W(注册删除密钥) 解决内容: 启动软件后,软件自动打开一个网页 工具: C32Asm 解.
【BUUCTF逆向 jocker】
chuxuezhewocao的博客
06-19 177
通过本题,学习了使用ODdump插件题目无壳,进入以后看到如下函数逻辑: 这里我是直接可以看到反汇编的,但是后面看了别人的WP,说是这个地方有堆栈不平衡,因而导致看不到反汇编,不知道是不是IDA版本的原因,我这里用的是7.7版本 这里有两个函数,wrong和omg,通过这两个函数可以还原出一个假flag,具体就不说了,关键的地方在encrypt和finally,这两个函数在干什么的,其中encrypt无法跟进,然后再有一段(encrypt + i) ^=0x41,这么一段,一开始没明白,为什么这里是对函数
windows upx脱壳
最新发布
08-24
在Windows中,UPX脱壳是指通过一系列技术手段将经过UPX压缩壳处理的可执行文件恢复到原始状态。UPX压缩壳是一种常见的软件保护措施,它可以压缩可执行文件的大小并添加一些特定的处理逻辑来保护代码的安全性。UPX脱壳的过程可以通过寻找可疑点(如jmp或者ret指令)、设置访问断点以及单步调试等方法来实现。引用、、 通过分析UPX的文件头,可以找到UPX的头部信息并进行抹去,使得脱壳软件无法正确脱壳。此外,UPX脱壳过程中,我们通常要跳到原始入口点(OEP)以完成程序运行。可以通过多次脱壳操作来感知到OEP的特点。 另一种方法是通过在堆栈上设置访问断点,当程序执行到壳程序即将执行完时,程序会暂停,然后可以通过单步跟踪的方式找到原始OEP。这是因为壳程序内存中还原程序并执行后,会操作堆栈指针为进入之前的堆栈指针,根据堆栈平衡原理,我们可以利用这个原理来定位原始OEP。 综上所述,Windows中的UPX脱壳可以通过抹去UPX的文件头、寻找可疑点、设置访问断点以及单步调试等方法来实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [对于UPX脱壳解决](https://blog.csdn.net/qq_54894802/article/details/128516718)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值