手动脱壳(一)

最新推荐文章于 2024-05-28 09:52:31 发布
最新推荐文章于 2024-05-28 09:52:31 发布
阅读量669 收藏
点赞数
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51739768/article/details/114902826
版权 
                             手动脱壳

手动脱壳一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件
理论上,当程序执行时,外壳代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改,即可还原到加壳前的状态。
OEP理论:外壳程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”,这个解压后真正的程序入口点称为“”OEP”(Original Entry Point,原程序入口点)
所以手动脱壳最主要的就是找到OEP,只要找到OEP,就可以直接dump脱壳了

1, 首先最简单就是使用自动工具:OllyDbg的OllDumP插件,这个插件有两个显著的脱壳功能,它可以转储当前的内存,还可以搜索加壳可执行文件的OEP!在这里插入图片描述

程序在OEP运行前命中断点。命中断点。但是这种方法容易断错点,跟进call或者跳过call,可以相互尝试。
2.可以通过内存访问断点,寻找到OEP,在od中使用快捷组合键ALT+M打开内存模块对代码段用F2键进行设置内存断点,这个断点是一次性断点,中断发生后,断点就会被自动删除。(本例是text区块)
在这里插入图片描述

然后就是ctrl+F2重启程序,直接F9执行程序,因为当外壳跳到OEP返回代码段时即可对触发内存访问断点,从而产生中断。
二次断点法寻找OEP的关键是要等代码段解压完毕,再对代码段设置内存访问断点!一般的壳会依次对.text.rdata.data.rsrc区块进行解压处理,所以,可以先在.rdata.data等区块下内存访问断点,中断后,此时代码段已解压,接着再对代码段(.text块)下内存访问断点,即可到达OEP。

Re~Fw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD 手动脱壳 - UPX
文公子的博客
08-03 2954
OD 手动脱壳 - UPX 1. 准备工作 1.OD 吾爱破解版 链接:https://pan.baidu.com/s/1ErDTW3D1n_XTAfTh8uMEbQ 提取码:tr45 2. 待脱壳程序 test2.exe 链接:https://pan.baidu.com/s/1GUseFGIB8jnrhGE_0bSZoA 提取码:xki4 3. 查壳工具 PEiD 0.95 链接:https://pan.baidu.com/s/1WUBRRcmu19CxKCh8u
upx手动脱壳
qq_36963214的博客
10-26 6791
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
OD脱壳八大法
老北京砸酱锤的博客
06-22 3854
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
逆向基础:软件手动脱壳技术入门
最新发布
2401_84206094的博客
05-28 930
最后一次异常法的原理是,程序在自解压或自解密过程中,可能会触发无数次的异常。如果能定位到最后一次程序异常的位置,可能就会很接近自动脱壳完成位置。现在最后一次异常法脱壳可以利用Ollydbg的异常计数器插件,先记录异常数目,然后重新载入,自动停在最后一次异常处。
手动脱壳教程
热门推荐
weixin_44032972的博客
05-21 1万+
一、什么是壳?         壳是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、壳的加载过程 1、保存程序入口参数         加壳程序初始化时保存各个寄存器的值(用堆栈),外壳执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
Aspack壳手动脱壳
weixin_62586193的博客
03-27 2311
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack的手动脱壳,记录下。 首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
UPX手动脱壳
m0_46296905的博客
04-23 1924
脱壳入门,不喜勿喷,欢迎指正。 参考《加密与解密(第四版)》 0x01 壳&脱壳 首先了解一下什么是壳, 壳实质上是一个子程序,它在程序运行时首先取得控制权并对程序进行压缩。同时隐藏程序真正的OEP。 而脱壳的过程总体分为三个步骤: 查找真正的程序入口点 抓取内存镜像文件 重建PE文件 关于壳的类型有以下几种: 解压->运行 解压->运行->解压.->运行 解压 decoder|encoded code->decode ->exc Run th.
记一次手动脱壳
WateranFire的博客
12-23 667
以前一直都是用脱壳工具直接脱壳,最近学了手工脱壳的一些知识,就尝试了一次简单的手工脱壳。 我使用吾爱破解版的OD来脱壳,因为上面自带了插件OllyDump。不得不说这个功能十分强大,原以为脱壳出来还要重建修复表的,结果发现居然不用,完成了以后一脸懵逼,完全不敢相信成功了。 首先,遇到了这个的话,都选否。 原来的OD似乎是要先执行一段代码,再开始执行壳的(从pushad那里开始)如下图:
手动UPX脱壳演示
qq_41426887的博客
07-03 7011
首先,用PEid打开加壳后的程序CrackmeUPX.exe,可以发现使用的是UPX壳。UPX壳是一种比较简单的压缩壳,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
upx3.94手动脱壳
海阔天空
07-15 5074
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx加壳,使用ESP定...
手动脱壳简简单单
04-28
手动脱壳简简单单 手动脱壳是指在逆向工程过程中,为了分析和研究...手动脱壳是逆向工程中非常重要的一步骤,掌握它至关重要。通过单步跟踪法、堆栈平衡法等方法,可以成功地找到OEP,脱壳软件,分析软件的内部结构。
手动脱壳.doc
12-07
手动脱壳教程,大多数加壳适用。。课堂笔记
手动百度脱壳
04-17
本文将详细探讨一种针对百度加固应用程序的手动脱壳过程,具体涉及的技术细节包括分析加固后的文件结构变化、使用IDA进行初步调试尝试、以及最终通过“DD大法”实现脱壳的目标。 #### 二、百度加固概述 百度提供了...
手动脱壳入门
12-24
本教程供破解软件的初学者学习观看。
手动脱壳进阶11
12-24
本教程供学习破解软件的初学者观看。。为进阶篇
IDA的快速组合键 总结
Re_Fw
03-19 1878
学习逆向的基本离不开IDApro,学习逆向已经半年了,不知道有没有人和之前的我一样对于IDA只知道用shift+f12,和f5弄成C语言伪代码,着实有点丢人,今天特意总结一下IDA的快捷键,不仔细研究一波IDA还真不知道IDA中有如此多的功能, IDA的快捷键的设计有一定的模式,因此我们可以加强快捷键的记忆,使逆向的速度更快,更加得心应手。 下面简绍一部分定义数据类型的快捷键。使用这些快捷键的时候需要让焦点(光标)对应行上才能生效 U(Undefine)键 :即取消一个地方已有的数据类型定义,此时会弹出确认
buuctf 刮开有奖 wp
Re_Fw
03-22 1108
是个EXE文件首先打开看一下,只有一个带有刮开有奖的消息框,没有什么线索然后老套路拉进Exeinfo PE查看是32位的文件拉进IDApro x86 看到 WinMain 当然毫不犹豫的进去看一下,然后F5查看一下伪代码, 看到了GetDlgItemTextA函数,发现它在DialogFunc中,我们用F5载入它看看, BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4) { const char *v4; // esi@
buuctf [GWCTF 2019]pyre 1 wp
Re_Fw
03-24 996
下载好文件一看是个pyc文件,找个python的在线解密 在线解密python的网址:https://tool.lu/pyc/ #!/usr/bin/env python # visit http://tool.lu/pyc/ for more information print "Welcome to Re World!" print "Your input1 is your flag~" l = len(input1)#输入字符串的长度 for i in range(l):#遍历字符串 num
ollydbg手动脱壳
06-09
OllyDbg是一款常用的反汇编器和调试器,可以用来破解软件和查找程序中的漏洞。手动脱壳是指通过OllyDbg来脱去软件的保护壳,使得我们可以直接对软件进行修改和分析。以下是手动脱壳的一般步骤: 1. 打开OllyDbg并加载需要脱壳的程序。 2. 运行程序,并在OllyDbg中暂停程序的执行。 3. 找到程序的入口点,通常是程序的OEP(Original Entry Point),可以使用OllyDbg的"EP Finder"插件来查找。 4. 在程序入口点处下断点,暂停程序的执行。 5. 接下来需要找到程序的反调试和反脱壳代码,这些代码通常在程序的EP处或者程序的某个关键函数处。可以使用OllyDbg的"Search for"功能来查找这些代码。 6. 找到反调试和反脱壳代码后,可以通过修改代码或者跳过这些代码来绕过保护。 7. 最后,保存修改后的程序,并测试程序是否可以正常运行。 需要注意的是,手动脱壳是一项复杂的任务,需要对程序的结构和保护机制有深入的了解。同时,手动脱壳也有一定的风险,如果操作不当可能会导致程序崩溃或者损坏。因此,在进行手动脱壳之前,建议先备份原始程序,并在安全的环境中进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值