UPX查壳绕过

已于 2023-04-25 15:46:28 修改
阅读量1k 收藏 3
点赞数
文章标签: 汇编
于 2023-04-25 12:04:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51521220/article/details/130361900
版权
文章讲述了如何通过修改PE文件的特征码,尤其是UPX的节表名和头部信息,以及利用空闲节表区域添加新节,来绕过查壳软件的检测。通过改变入口点并添加加密代码,可以进一步防止被识别为UPX壳。这种方法可以让某些工具如Exeinfo_PE无法准确判断UPX的存在。
摘要由CSDN通过智能技术生成

绕过UPX查壳

一般市面上的查壳软件都是通过特征码进行识别的,虽然效率很高,但是 只要通过去除混淆特征码,那么就可以实现绕过查杀的目的。

特征码

就像PE文件都有MZ头一样,(MZ就算是PE文件的特征码)UPX也有自己的特征码

包括

  • UPX节表名

在这里插入图片描述

通过学习PE文件结构我们可以知道,
节表名在PE加载在内存中没有什么作用(起作用的主要还是VirtualAddress)
所以我们修改这里的节表名 对PE文件的运行没有影响
但 对于 UPX -d 这个自己的UPX解壳程序来说 他是通过检查PE的节表名来判断该文件是否有UPX壳
所以这里修改一下 就能让UPX自己无法完成脱壳
但是Exeinfo_PE还是可以查出来是UPX壳 甚至还有版本信息
这就是关于下面的几个特征码了
  • UPX头

在这里插入图片描述

这里是UPX头部,是通过Pack4()函数添加的,相关信息,各个字段所代表的属性 在上面已经列出

ExeinfoPE就是通过这读取到的UPX版本信息,记录的都是和UPX和文件的基本信息,包括文件大小,压缩等级...
替换这些信息也不会对PE文件的运行造成影响
但ExeinfoPE获取到的UPX版本信息就会有错误,比如将版本字段改为6666

在这里插入图片描述

但是仍然还有UPX壳的信息

来看下一个特征码

  • psuhad … 机器码(60 BE …)

在这里插入图片描述

这里的特征码是pushad的特征码,用作upx的loader

exeinfoPE就是通过查特征码表查的

在这里插入图片描述

改了这里以后 exeinfoPE还有是有疑似UPX的提示

在这里插入图片描述

还有什么捏 不到了

点一下Scan/t 提示 “3个节的结构 似乎是UPX”(口翻一下)

这里试一下再添加一个节

添加一个空节

<1>判断节表区域是否有空闲区域添加一个节表.APEX
<2>在节表中新增一个成员
	复制其中一个 比较省事 这里复制了upx1节
<3>修改PE头部中节的数量
	标准PE头 3-》4
<4>修改SizeOfImage的大小
	可选PE头 原有+内存偏移
<5>在原有的数据最后,新增一个节的数据(内存对齐的整数倍)
	直接00
<6>修正新增节表的属性
    //可以便增加边修改
    需要修改的节表属性
    	VirtualAddress(在内存中的偏移) = 上一个节表的VirtualAddress+上一个节表的(Misc在内存中的大小(内存对齐整数倍))	
    	PointerToRawData(在文件中的偏移)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rgT7vLf9-1682395066259)(C:\Users\86182\AppData\Roaming\Typora\typora-user-images\image-20230425112446297.png)]

可以看到显示了4个节,他就不知道是啥保护了,但是还有提示了有壳 试一下把入口改了

在新增节的位置添加跳转代码 并修改OEP–》0x2f000
在这里插入图片描述

虽然还有是提示有壳保护 但是 点击Scan/t他分析不出来是UPX了

在这里插入图片描述

后面还有能咋弄捏?不到了QAQ

这里由于妹有改什么特别的东西直接ESP定律就能手脱捏

手动加壳

再套一层 把upx的loader代码加密了 这应该就看不出了叭

还是新增一个节 用来保存解密upx的代码 同时修改OEP

这里和上面的一样

加密oep代码

010Editor进行异或0x10叭

在apex节添加解密代码

0042F000 | 60                       | pushad                                |保存一下现场
0042F001 | 90                       | nop                                   |
0042F002 | BF B0D34200              | mov edi,hello3.42D3B0                 | upx的解压缩
0042F007 | B9 90010000              | mov ecx,190                           | 异或长度
0042F00C | 80340F 10                | xor byte ptr ds:[edi+ecx],10          | 解密
0042F010 | 83F9 00                  | cmp ecx,0                             | 
0042F013 | 74 03                    | je hello3.42F018                      |
0042F015 | 49                       | dec ecx                               | ecx--
0042F016 | EB F4                    | jmp hello3.42F00C                     |
0042F018 | 61                       | popad                                 | 解压完成
0042F019 | E9 92E3FFFF              | jmp hello3.42D3B0                     | 跳回upx解压缩

程序能跑再exeinfoPE看一下 同样识别不出来UPX了
在这里插入图片描述

所以这也是一种绕过方法

Oops-re
关注
Upx
大学二年级
09-28 903
UPX 是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。UPX 支持许多不同的可执行文件格式 :包含 Windows 95/98/ME/NT/2000/XP/CE 程序
DIE,应用程序查壳工具
12-23
- 逆向工程:DIE是逆向工程师的重要工具,它可以帮助他们绕过壳的保护,深入理解程序的工作原理。 - 恶意软件分析:在安全研究中,DIE可用于检测和分析潜在的恶意软件,确定其隐藏行为和传播机制。 5. **DIE_...
专用UPX脱壳机加密解密
12-11
UPX脱壳机加密解密工具 UPX脱壳机加密解密工具
UPX较常用的压缩壳(共70多个版本)
08-30
UPX is a portable, extendable, high-performance executable packer for several different executable formats. It achieves an excellent compression ratio and offers **very** fast decompression. Your executables suffer no memory overhead or other drawbacks for most of the formats supported, because of in-place decompression.
upx脱壳
最新发布
m0_62280492的博客
07-09 1685
介绍CTF比赛中常见的upx壳类型
upx查壳去壳
weixin_63282980的博客
03-24 1830
ELF等文件查壳
UPX so加密
weixin_30419799的博客
05-03 424
如何进行编译UPX 请参考http://www.cnblogs.com/oloroso/p/6377807.html Android so加密遇到的问题,参考自http://www.th7.cn/Program/Android/201606/885235.shtml 1、40k以下so不能加壳 kiiim@ubuntu:~/src$ upx.out a.out Ultim...
软件安全-UPX加壳
写代码的小阿帆的博客
05-03 3073
加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 其原理是将可执行程序按照一定算法进行压缩,达到程序源代码的加密效果,执行时在先脱壳内存中解压缩,还原,再执行原程序部分。从而达到防修改与防反编译的效果,而因为源代码在磁盘中以压缩形式存储,虽然脱壳操作加重了CPU的负担,但减少了磁盘的读写,所以在大多数情况下还能提高程序运行速度;这种技术也常被应用到病毒免杀中,给病毒加壳后,杀毒软件往往很难识别。 壳也能提供一些保护功能,比如时间限制,使用次数和注册等。 UPX UPX (the Ultimat
ExeinfoPe exe查壳工具
05-24
ExeinfoPe是一款强大的Windows可执行文件(exe)分析工具,尤其在查壳(检查程序保护壳)方面表现出色。它能帮助用户检测程序是否被加壳,以及使用了哪种壳技术,这对于软件开发者、逆向工程师和安全研究人员来说是...
易语言PEID的查壳工具源码
06-02
7. **反反调试技术**:查壳工具可能需要绕过被加壳程序设置的反调试机制,以便进行更深入的分析。 8. **数据流分析**:通过分析程序的数据流,可以推测出是否存在加壳行为,如代码的加密解密过程。 9. **混淆与反...
查壳工具Peid
06-16
加壳技术通常被黑客用于保护病毒、木马和其他恶意软件,通过混淆其内部结构,使它们能绕过传统的安全扫描。PEiD的出现,为安全研究人员提供了一种强大的手段,可以穿透这些外壳,揭示隐藏在背后的真正代码,从而进行...
UPX去壳工具
04-22
专业去UPX的壳 脱壳机 对你们有用的哦
最强查壳工具 Protection ID支持2000种壳检测,超过PEID工具
12-04
最强查壳工具 Protection ID支持2000种壳检测,超过PEID工具,非常好用大家下载试试看
UPX 压缩加密 EXE文件
10-09
UPX 用于压缩 加密 EXE文件
upx加密小工具
05-20
upx加密小工具,对软件进行加密
upx变形加密补丁
07-08
upx变形加密补丁,源码。在加密时做手脚
代码查壳工具
07-08
2. 软件逆向工程:开发者可能需要逆向某些商业软件,了解其工作原理,查壳工具能帮助他们绕过保护层。 3. 安全审计:企业进行内部安全审计时,查壳工具可以发现潜在的安全风险,比如未授权的加壳软件。 4. 法证...
脱壳入门(三)之UPX压缩壳
w_g3366的博客
08-07 444
脱壳入门(三)之UPX压缩壳 一、找OEP 查壳UPX壳、链接器版本2.25(可能是Delphi程序)、区段信息 根据ESP定律寻找OEP OEP定律原理:壳代码就像一个函数,进入时会开辟堆栈、保存寄存器环境,退出时会恢复堆 栈、恢复寄存器。所以应该是堆栈平衡的,那我们可以在壳代码操作了堆栈后对堆栈设置访问或写入断点,然后运行程序,当断点命中的时候,应该就是退出壳代码的时候。在其附近单步...
upx命令行脱壳
m0_74148881的博客
07-28 2548
try upx.exe -d
upx1壳一键脱壳工具
07-31
UPX1壳一键脱壳工具是一种能够自动解压缩使用了UPX1壳的可执行文件的工具。UPX1壳是一种常用的文件压缩工具,它能够显著减小可执行文件的体积,使其在传输和存储时更加高效。 使用UPX1壳一键脱壳工具可以方便地将使用了UPX1壳压缩的可执行文件解压缩回原始状态,方便进行进一步的分析和修改。这个工具提供了简单易用的界面,用户只需要选择待解压的文件,点击一键脱壳按钮,工具就会自动进行解压缩操作,并生成一个解压后的可执行文件副本。 通过使用UPX1壳一键脱壳工具,用户可以方便地获取UPX1壳压缩文件的原始版本,以便进行代码分析、漏洞挖掘等操作。这对于软件开发人员、安全研究人员以及反病毒软件开发者等来说是非常有价值的。 UPX1壳一键脱壳工具的优势在于其操作简单、快捷,并且能够批量处理多个文件。它能够提高工作效率,节省用户的时间和精力。 总之,UPX1壳一键脱壳工具是一种能够自动解压缩UPX1壳可执行文件的工具,具有简单易用、快速高效等特点。它在软件开发、安全研究和反病毒软件开发等领域具有重要的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值