【脱壳-寻找OEP】通过内存定位OEP实现脱壳

已于 2022-10-22 13:33:25 修改
阅读量460 收藏
点赞数
分类专栏: 脱壳入门 文章标签: java
于 2022-10-19 21:42:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45007567/article/details/127416306
版权

这个方法使用的是特殊OD,这个OD也叫VBOD 这个OD只会在执行的时候断点,其他异常之类的操作都不会进行断点。

这个方法是通过运行壳后壳会对原来的代码段进行 解密 还原 写入 这三个步骤,我们通过在他写入的那个段的时候设置一个执行断点

这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入表中,也就是我们真实的OEP入口代码地址。
在这里插入图片描述
我们在UPX0原始代码段设置内存访问断点,只要UPX1这个代码段完成了解密 还原 这两个步骤,我们就在写入这个步骤完成后给他拦截,他写入完成后肯定要执行程序,因为这个od的特殊性,只会在他写入完成后执行原始oep代码段第一行代码的时候才会进行断点。
在这里插入图片描述
设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
在这里插入图片描述
有些壳会有很多个区段,我们就一个个排除去执行断点,如果直接跑起来了证明就不是这个代码段,继续在他的下一个代码断进行执行断点,只要没有直接运行起来程序,哪他大概率就是加壳程序还原的第一行代码。注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。

JAVA百练成神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UPX脱壳逐一跟踪分析
qq_50536062的博客
03-07 819
UPX脱壳逐一跟踪分析写在前面OD跟踪命令先结合PE知识分析分析“新年快乐.exe” 写在前面 之前看到的UPX脱壳文章都只是教了方法,对UPX的原理少有提及。看了《逆核》的UPX脱壳一章后,俺尝试把UPX脱壳与PE文件结构的知识结合起来整理了一些(也可联系压缩器Paker的知识)。 分析样本来自BUUCTF:Reverse题目“新年快乐”(本文将寻找样本的OEP) OD跟踪命令 可能会用到的几个跟踪命令: 命令 快捷键 作用 Animate Into Ctrl+F7 反复执行Step In
《逆向核心原理》第十五章----调试notepad_upx.exe
qq_55785697的博客
04-05 535
零、前情提要 我们常见的压缩比如zip、7z、rar等都是通过合适的压缩算法将大东西变成小东西,就像挤出海绵里的水、压出杯子里的空气或者榨出论文里的水一样;而今天提到的upx称之为运行时压缩,仅针对可执行文件,压缩后仍为可执行文件,其中包含解码程序和源代码。 一、比较upx加壳前后的pe结构 用peview打开两个exe,加壳前的notepad.exe其中包含text、data、src节,加壳后text和data节消失,取而代之的是upx0和upx1。 可以发现notepad_upx.exe中,
万能脱壳辅助工具 GUnpacker V0.5
06-18
GUnpacker是一个辅助脱壳工具,它的主要功能有两个: 1.定位OEP 2.Dump已经解密的代码和数据,可用于后续的PE修复
脱壳OEP(即程序入口点)查找 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5116
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序的入口点,POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选) 4.绿色线条表示跳转没实...
[脱壳]手脱UPX壳
輚至消亡
07-24 1343
0x00 简介 UPX壳是一种压缩器。经其加壳后的程序的PE结构如下: 其特点是加壳后除了资源的节,其他节区都不见了,转换成了UPX0和UPX1两个节区。并且UPX0节的磁盘文件大小变成了0。 实际上,UPX压缩器将这些节区压缩后放置于UPX1中,并且将压缩和解压代码也放到里面去。一旦该程序被加载运行,位于UPX1节的解压缩代码会释放原数据到UPX0中并且让PE正常运行。 0X01 硬...
脱壳实践之寻找OEP——两次内存断点法
weixin_30294021的博客
10-26 255
0x00 前言 对于加壳程序第一件事就是要找到OEP(oringinal Entry point),由于加壳的缘故,当PE文件载入OD或者其他调试软件时进入的的往往是壳程序的入口地址。所以要进行逆向分析第一步就必须找到PE程序的原始入口点。 0x01 壳的加载过程 壳和病毒在某些方面比较类似,都需要比原程序更早获得控制权。壳修改了原程序的的执行文件的组织结构,从而比原程序更早...
菜鸟脱壳脱壳的基础知识(三)——寻找OEP
banhanjun1518的博客
07-05 293
这节我们来讲讲如何寻找一个程序的OEP,即OriginalEntryPoint。一些PE加壳程序在被加密的程序上面加了一个区段(有的壳也会合并区段),当外壳代码执行完毕以后,会跳到程序的本身的代码来执行,所以我们可以依靠跨区段的转移指令来寻找程序的入口点。我们来看看加壳之前的Delphi7.0的程序,用LordPE来打开Delphi7.0程序,我们看到程序的入口点是004C498:看...
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2688
脱壳的基本步骤 1.查壳(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
Apk文件反编译出Java文件(脱壳
最新发布
fukeai的博客
10-31 546
对加固的Apk文件进行脱壳,然后进行反编译出Java源码文件。
第42章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)1
08-03
定位原入口点(OEP)是脱壳过程的关键步骤。我们可以利用OD的Debugging options-SFX功能,选择Trace real entry blockwise(inaccurate)来尝试找到OEP。不过,有时OEP可能被"stolen bytes"所影响,这是壳层用来混淆...
专用UPX脱壳机加密解密
12-11
UPX脱壳机加密解密工具 UPX脱壳机加密解密工具
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. ...
第32章-OEP寻踪1
08-03
总之,定位OEP脱壳过程的关键步骤,需要根据壳的类型和复杂性采用不同的策略。从搜索特定机器码到利用反汇编器的高级功能,每一个方法都有其适用范围和局限性。对于现代复杂的壳,可能需要结合多种技术,甚至动态...
第54章-EXECryptor v2.2.50.a脱壳-Part11
08-03
总之,本章详细介绍了如何分析EXECryptor v2.2.50.a的脱壳过程,包括使用UnPackMe样本、动态调试技巧、以及手动和工具辅助下的TLS CALLBACK定位。这些技能对于逆向工程师来说是至关重要的,它们可以帮助识别和绕过...
手脱UPX壳的几种方法
热门推荐
xiaoyuai1234的博客
05-20 1万+
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
UPX的使用
谢公子的博客
12-16 4908
UPX UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/XP/CE 程序和动态链接库、DOS 程...
UPX脱壳详细分析
keilsi的专栏
11-16 5002
文章标题】: UPX脱壳详细分析 【文章作者】: index09 【使用工具】: UPX + OD + Stud_PE + Import REC -------------------------------------------------------------------------------- 【详细过程】 又被R公司鄙视了,每次都被相同的理由鄙视。哭…… 于是决定好好学一下逆向了。 首先做个幼儿级的脱壳练习,当做开始吧。 网上有很多类似文章,基本只写了找OEP的过程,这里稍加分
调试UPX压缩的notepad
weixin_30347009的博客
11-30 198
@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 note...
脱壳学习记录----DLL找OEP
qq_42192672的博客
09-13 1588
还是做一些加密解密3的学习记录 文件链接:https://pan.baidu.com/s/1-KiagpsimjDBsyMF01ouxA 密码:tt8u 工具链接:https://pan.baidu.com/s/14dP_ksqM8WvTnKxCZ18xUw 密码:qqr5 DLL文件脱壳相比于EXE脱壳困难一些 先压缩,要是失败了,就找别的工具吧 用PEEditor查看一下加壳后的DL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值