UPX脱壳逐一跟踪分析

最新推荐文章于 2024-04-13 10:48:47 发布
最新推荐文章于 2024-04-13 10:48:47 发布
阅读量849 收藏 7
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50536062/article/details/114457858
版权
本文结合PE文件结构知识,详细解析了UPX脱壳的过程。通过OD跟踪命令,分析了“新年快乐.exe”的解压代码,揭示了UPX壳如何将压缩代码解压到第一个节区并执行。在分析过程中,指出了关键的内存访问断点、重定位表循环以及IAT表设置等步骤,最终找到程序的OEP。
摘要由CSDN通过智能技术生成

UPX脱壳逐一跟踪分析

写在前面

之前看到的UPX脱壳文章都只是教了方法,对UPX的原理少有提及。看了《逆核》的UPX脱壳一章后,俺尝试把UPX脱壳与PE文件结构的知识结合起来整理了一些(也可联系压缩器Paker的知识)。
分析样本来自BUUCTF:Reverse题目“新年快乐”(本文将寻找样本的OEP)

OD跟踪命令

可能会用到的几个跟踪命令:

命令 快捷键 作用
Animate Into Ctrl+F7 反复执行Step Into命令(画面显示)
Animate Over Ctrl+F8 反复执行Step Over命令(画面显示)
Trace Into Ctrl+F11 反复执行Step Into命令(画面不显示)
Trace Over Ctrl+F12 反复执行Step Over命令(画面不显示)
停止跟踪 F7

Animate:执行时画面会跟着光标移动一直显示;
Trace:会在事先设置好的跟踪条件处停下,并生成日志文件。
跟踪命令适合用在大型代码,一好处是容易发现短循环。
我分析时只是使用了F8/F7/F4。

先结合PE知识分析

一般情况下,分析压缩后的UPX壳,可以看到第一个节区的名称为UPX0,SizeOfRawData=0,而VirtualSize=1000h(大于0),第二个节区UPX1,它的PointerToRawData和第一个节区的相同。也就是说,第一个节区在文件中是不占用空间的,只有运行时才分配大小。
其实,第二个节区含有解压代码和将被解压的代码(压缩前的代码),在加载过程中,第二个节区的解压代码运行,将被解压代码解压到第一个节区。最后到达EP执行代码。

分析“新年快乐.exe”

  1. 打开:
    打开程序后

  2. 根据上文,下面会先执行解压代码,这个代码在UPX1节区,在此节区设置内存访问断点。
    Memory map

  3. F9几次,就能在UPX1看到经

最低0.47元/天 解锁文章
初学者202009
关注
专栏目录
有关壳与脱壳方法
weixin_43916678的博客
07-15 971
壳的概念 壳最早出现是一种专用加密软件技术,用于保护程序不被静态分析。 某些病毒木马程序也利用加壳技术来躲避杀毒软件的查杀。 壳是一段专门保护软件不被非法修改或反汇编的程序。它们一般都是先于程序运行,拿到控制权。 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 常见的壳主要分两类 压缩壳:压缩壳的特点是减少软...
[脱壳破解]脱壳小结
独步清风
11-23 3977
首先什么是壳 作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3.在黑客界给木马等软件加壳以躲避杀毒软件。 壳的分类: 压缩壳和加密壳 如何分辨加密壳和压缩壳,通用特点,O
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
UPX脱壳全程分析(转)
banhanjun1518的博客
07-05 464
【文章标题】: UPX脱壳全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
upx脱壳
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
01-16 1034
upx的oep一般是在popad后面最后一个跳转指令的目的地址。主要的难点在于导入导出表的修复,此处使用了x64dbg中的scylla插件。找到oep之后,需要将pe文件在内存中的数据DUMP出来,但是此时dump出来的文件需要修复导入导出表。工具:通过x64dbg来实现,主要是想利用scylla插件来修复PE文件。脱壳原理:esp平衡。
upx壳的一些简单脱壳,望大牛勿喷。
weixin_33961829的博客
07-24 763
下面是我的脱壳。手动脱壳1.ESP定律法查看通用寄存器ESP,数据窗口跟踪。F8单步步入,F4禁止向上跳转2.单步跟踪法F8单步跟踪,遇CALLF7进入。直到到达OEP,经过多次F8,F4终于到达OEP了,恒大的第三课的跳转好多,逢向上的跳转,用F4。3.脚本脱壳法这个不需多说了。4.软件脱壳法,此法完美脱壳,win7x64下测试通过,正常运行,并且区段无upx0,upx...
upx脱壳(最简单方法之一)
最新发布
2301_80820096的博客
04-13 2033
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
35款最新自动脱壳工具合集
09-23
1. 静态脱壳工具:如PEiD,它可以识别出许多已知的加壳技术,包括UPX、MzStarter等,无需运行程序就能进行分析。 2. 动态脱壳工具:如CFF Explorer,它可以通过模拟执行来观察程序的行为,进而去除壳层。动态脱壳...
脱壳工具包
12-16
它提供了一个交互式的界面,可以逐指令地跟踪程序执行,查找和修改内存中的数据,以及分析程序的行为。汉化版则意味着它已经被翻译成中文,便于中国用户使用。在脱壳过程中,OllyDbg可以帮助识别和绕过保护机制,...
UPX单步脱壳
qq_49341576的博客
12-06 1401
使用OD脱UPX
upx(脱壳工具)
10-29
upx(脱壳工具)
UPX脱壳工具.exe
01-15
可以用这个工具脱UPX加过壳的exe可执行程序....................................
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
PE文件的UPX脱壳算法的实现
06-23
PE是Portable Excutable的缩写,指“可移植可执行”文件,是32 位 Windows操作系统可执行文件的标准格式。在计算机安全领域中PE文件如果被修改或者被反编译,都会使计算机产生安全隐患或者使软件的核心技术被窃取,所以保护PE文件不被修改是一件很重要的工作,当前通常采用加壳的方法对PE文件进行保护,这其中UPX是具有代表性的压缩类外壳。 本文首先对PE文件格式进行了全面细致的研究,PE文件的头部结构对可执行文件进行了整体描述,是加壳脱壳工作的重要信息来源。接下来本文还分析了外壳的加载流程以及UPX的加壳流程,外壳的加载流程具有普遍规律,掌握外壳的加载流程是理解外壳的工作机制以及编写加壳脱壳程序的基础。最后针对UPX外壳采用动态脱壳设计方案,进行UPX动态脱壳算法的设计与实现,动态脱壳设计思路以外壳程序在内存中还原出原文件为突破口,将加壳文件载入内存使其自行脱壳,并抓取内存映像,完成原文件的构造。相比于静态设计方案,动态脱壳设计方案具有更强的通用性。
UPX脱壳
Zbw_OIer的博客
11-28 1583
什么是加壳 加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。 UPX脱壳 加壳可执行文件 UPX sample.exe 脱壳执行文件
最通俗UPX脱壳原理讲解
darcy_123的博客
11-23 1189
https://www.52pojie.cn/thread-394116-1-1.html
脱壳系列_1_UPX壳_详细版
leibso的博客
07-30 1752
1 UPX壳的背景知识 UPX壳的功能有两种:给程序加壳、压缩程序 简述:将程序压缩(体积变小),在每次程序运行执行时实时的对程序解压缩。upx和普通的压缩区别就在于实时性 2 查看带壳程序信息 使用PeID查看 使用ExeInfoPE查看 分析: 使用两个PE分析工具可以看出入口点是 0X0006DFF8...
upx手动脱壳
qq_36963214的博客
10-26 6933
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
upx脱壳(手动)
weixin_45574485的博客
08-28 2829
1.upx脱壳几乎可以算是最简单的了,第一步还是查壳 2.第二步当然是od打开,提示解析代码,是和否都可以,然后f8,打硬件断点。 3.此时再f9执行到硬件断点,可以看到popad,壳代码到这基本上结束了,后面就是oep。在下面的一个大跳jmp处断点,然后取消硬件断点,f9到断点。 4.然后f8过去,可以看到如下画面。此处作为oep,可以开始进行脱壳 5.右键——使用od调试进程 6.复...
upx脱壳工具2018
06-24
### 回答1: UPX脱壳工具是一款用于解密并还原被UPX壳包装的程序的工具。UPX是一种非常流行的免费开源压缩工具,许多黑客使用它来保护自己的恶意代码。为了解决这个问题,开发人员开发了UPX脱壳工具,它可以反向工程UPX壳,使原始代码可读性高,并且可以检测和修复代码中的漏洞和攻击。UPX脱壳工具也可以帮助代码分析人员进行代码审计,以及帮助开发人员提高代码的质量。 UPX脱壳工具的优点是快速、高效、易用。它可以快速识别和解密UPX壳,并还原原始代码。此外,UPX脱壳工具非常容易使用,不需要任何专业技能或知识。使用UPX脱壳工具,用户可以通过几个简单的步骤来解密和还原被加密的程序。 总之,UPX脱壳工具是一款非常有用的工具,它可以为代码分析人员、安全研究人员和开发人员提供帮助,确保他们能够在维护程序安全及质量方面取得成功。 ### 回答2: UPX是一种用于压缩和加密可执行文件的开源工具。UPX压缩后的文件体积明显减小,加密也能增强文件的保密性,常被恶意程序使用以防止反汇编和分析UPX脱壳工具是专门为解压和解密UPX压缩的文件而设计的工具。目前市面上有很多UPX脱壳工具,在解密时会根据具体的UPX版本和加密方式进行处理,从而解压出原始的可执行文件。这些工具具有操作简单、速度快、功效稳定的特点,大大提高了对加密文件的分析和研究效率。 但是,UPX脱壳工具也面临着一些问题。首先,一些UPX脱壳工具只适用于特定版本的UPX程序,如果UPX版本发生变化,这些工具可能无法正常工作。其次,恶意程序有时会使用更高级的加密方式,这些加密方式超出了UPX脱壳工具的处理能力。此外,UPX脱壳工具也可能会被反病毒软件所检测和拦截,需要谨慎使用。 总的来说,UPX脱壳工具对于分析和研究可执行文件具有重要意义,但在实际使用时需要考虑到所处理的文件类型、加密方式、以及UPX工具版本等因素,以免出现错误。 ### 回答3: UPX脱壳工具是一种用于反编译、反混淆和脱壳UPX压缩的软件的工具。UPX是一种广泛使用的可执行文件压缩器,用于减小可执行文件大小和保护代码,但这可能会使反汇编和动态分析变得困难。因此,UPX脱壳工具是研究人员、安全专业人员和黑客们常用的工具,因为他们可以使用该工具更容易地分离出压缩的代码并进行更深入的研究。 UPX脱壳工具的使用方法相对简单,通常通过指定代码中的UPX头来识别可执行文件的使用UPX压缩的情况,然后压缩头会被删除,使反编译变得更容易。但是需要注意的是,使用该工具用于非法活动会被视为侵犯知识产权,这是不道德和非法的。 总之,UPX脱壳工具是一个有用的反编译、反混淆和脱壳UPX压缩的软件的工具,它可以帮助研究人员快速识别出压缩的代码和进行更深入的研究,但必须遵守法律和道德规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值