UnPackMe_EZIP1.0——脱壳实验<ESP定理法>

于 2023-02-14 09:43:54 发布
阅读量146 收藏 2
点赞数
分类专栏: Reverse 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53928256/article/details/129021355
版权

UnPackMe_EZIP1.0下载地址

2.1 程序结构

image-20221209092126120

根据查出的程序信息得出,程序中99%进行了加壳保护,但是是一种未知的壳

image-20221209092206975

根据程序的入口地址,可以知道程序的入口地址处于后面的.text区段中

而且在程序中存在两个.text、.rdata、.data区段,应该是加壳人,直接复制了程序的前三个区段,并添加到程序区段的后面。

2.2 OD动调

使用OD打开程序后即可发现一开始即是jmp跳转指令,执行一步以后可以发现,到达执行指令位置

image-20221209105450164

可以看到一开始就是一条push指令,可以考虑使用ESP定律法去寻找OEP

执行指令直至ESP发生改变,即push指令执行之后,跟随ESP地址的数据,设置硬件断点

如图所示,右键单击ESP的值,选择数据窗口跟随,在数据窗口中,选择第一个数据,右键单击第一个数据->断点->硬件写入->DWORD

然后通过菜单栏 调试->硬件断点可以查看自己下的硬件断点,以及删除自己所下的硬件断点,如下图所示;

image-20221209105633968

image-20221209105718494

image-20221209105804167

image-20221209105819157

执行完上述操作后,通过快捷键F9继续运行程序即可到达程序的原始入口点OEP;

image-20221209110300444

2.3 dump

与第一个实验同理,通过OD插件OllyDump插件dump保存文件

这里需要注意的一点就是,在dump文件之前,先删除自己所下的硬件断点;

使用Import REC工具检查输入表是否需要修复

如下图,得知,输入表不需要修复。

image-20221209110612888

image-20221209110747414

不选择重建输入表,dump保存文件即可得到一个可执行的脱壳文件。

2.4 区段处理

将存储壳代码、数据和资源的去掉清除就好了,没啥可说,清除也可以,影响不大。

使用LordPE工具直接清除就好了

C4ndy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
UnpackMe.exe
07-29
UnpackMe.exe
crackme用来测试程序设计人员的逆向工程技能的小程序。
caoyongsheng的博客
08-12 2951
Crackme crackme(通常简称CM)是用来测试程序设计人员的逆向工程技能的小程序。 KeygenMe、ReverseMe、UnpackMe,KeygenMe是要求别人做出程序对应的 keygen (序号产生器)。 ReverseMe 要求别人把它的算做出逆向分析。 UnpackMe 是则是要求别人把它成功脱壳 。 分析这些程序都能提高个人的程序分析能力,这些程序都有各自侧重的知识点。 下面就以一个验证序列号的crackme小程序作为例子进行破解,得到正确的序列号。 直接运行程序...
[.NET逆向] 【.NET】UnpackMe!Shielden+DNGuard,双层变异壳 - 脱壳详解 [复制链接]
热门推荐
y13156556538的博客
02-17 1万+
http://www.52pojie.cn/thread-439154-1-1.html?t=1451911355271 前言:自从脱壳神器de4dot横空出世以来,我们可以看到几乎所有的.net破文中的第一部分就是不管三七二十一把程序丢进去脱壳以及反混淆。可是你真的明白de4dot背后做了些什么吗?你对.net文件格式真的了解吗?如果这么好的开源工具大家都不去研究代码,实在是令人惋
UnPackMe_CrypKeySDK5.7——脱壳实验单步跟踪ESP
qq_53928256的博客
02-14 150
我们通过使用ImportREC工具检查进程中的输入表,发现输入表并不存在异常,所以我们可以不用对输入表进行修复,同样不需要重构输入表。dump,就是转存,也就是抓取内存镜像,就是把内存指定地址的映像文件读取出来,然后用文件等形式保存下来!的进程,可能是由于吾爱破解OD是管理员权限执行的程序,可以使用OllyICE替代OD。查看区段,发现程序区段的后面加入了三个名称奇怪的区段,应该是由加壳人添加上去的。因为多余的段肯定是壳的区段,我们将存储壳代码的区段删除掉;修正物理地址和物理大小即可得到可执行的脱壳程序。
android 控制流混淆 反向,[.NET] 超难控制流混淆UnpackMe
weixin_36074668的博客
05-27 183
[C#] 纯文本查看 复制代码using System;using System.Collections.Generic;using System.Linq;using System.Text;using de4dot.blocks;using de4dot.blocks.cflow;using dnlib.DotNet;using dnlib.DotNet.Emit;namespace de4d...
脱壳基础知识入门
zacklin的专栏
05-14 3670
现在加解密发展己形成2个分支了,一个就是传统的算,另一个就是加密壳。越来越多的软件采用了密码学相关算,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加壳了,因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛。壳发展到今天,强度越来越高了,将许多人挡在门外,使得
UnPackMe_ASPack2.12的IAT修复 19.05.13
V8cangshu的博客
05-13 400
UnPackMe_ASPack2.12的IAT修复 在ESP寄存器值上面单击鼠标右键选择-数据窗口中跟随,就可以在数据窗口中定位到刚刚通过PUSHAD指令保存的寄存器环境了,选中前4个字节,单击鼠标右键选择-硬件断点-硬件访问-Dword,这样就可以给这4个字节设置硬件访问断点了。 按F9键运行起来。 断在了POPAD指令的下一行,我们直接按F7键单步跟踪到OEP处。 现在可以对该进程进行...
eZip For Mac_v1.9.1
09-17
eZip For Mac_v1.9.1是一款非常棒的简洁易用的免费压缩软件,为Mac系统设计的压缩软件,查看、编辑压缩包,无需解压,按空格键即可进入预览模式预览,支持 Mojave 深色模式。
eZip_V1.8.2.dmg
03-06
eZip Mac版是Mac平台上的一款非常棒的简洁易用的免费压缩软件。eZip Mac版是一款专为Mac系统设计的压缩软件,查看、编辑压缩包,无需解压,按空格键即可进入预览模式预览,支持 Mojave 深色模式。
红黑全能自动脱壳机——全能脱壳
01-22
这个工具的工作原理,它的壳特征和编译器特征保存在HackFans.txt里面,能识别出来的壳,基本上都有对应的脱壳函数,用壳特征脱壳,可以脱壳,对于一些不好特殊的壳你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己...
UnpackMe
07-29
UnpackMe.exe
[.NET] 超难控制流混淆UnpackMe
11-12
[.NET] 超难控制流混淆UnpackMe[.NET] 超难控制流混淆UnpackMe
VmprotectUnpackMe脱壳教程
07-22
资源名称:Vmprotect UnpackMe脱壳教程 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0-...
eZip_V1.8.1.dmg
01-02
eZip 开发者秉承一切以用户体验和隐私安全为核心,为广大Mac用户提供便捷的解压缩和加密解密服务。本产品严格遵守 macOS 安全可靠的沙盒机制进行研发,只需最基本的沙盒权限即可正常运行。同时也欢迎大家的监督和...
内嵌补丁 与 洞穴代码分析案例
Tokameine的博客
03-10 242
示范案例:unpackme#1.aC.exe,学习过程参照《逆向工程核心原理》 如您发现了某些错误和不规范,请务必指正 内嵌补丁: 如名字所述,是指将补丁内嵌进程序中的一种打补丁的办。与常规补丁不同的是,内嵌补丁嵌入在程序的代码当中,也就是说,每次执行该程序时相当于打了一次补丁(常规补丁通常打下第一次就不需要再有第二次了)。 洞穴代码: 内嵌补丁常用的一种打补丁的方。目前我个人只了解到其对于“为加密或压缩过的代码下补丁”时的作用,因此也引之为例。 在反调试过程中...
逆向工程——调试upx压缩的notepad程序
周星星的博客
10-27 1226
一. 比较notepad.exe与notepad_upx.exe的EP代码 notepad.exe: 程序的EOP在0100739D处,在010073B2处调用函数getModuleHandleA()API,获取notepad.exe的Imagebase。然后在010073B4和010073C0处比较MZ和PE签名,这部分的EP代码很重要,后面分析notepad_upx.exe时会进行比较,也方便找到真正的程序的OEP。 notepad_upx.exe: 在地址01015330处是压缩之后的第二节部分,
《逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1520
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
运行时压缩(UPX)
Mi1k7ea
06-07 3848
任何文件都是由二进制组成的,因而只要使用合适的压缩算,就可以是文件大小进行压缩。无损压缩:经过压缩的文件能完全恢复。如7-zip、面包房等压缩程序。有损压缩:经过压缩的文件不能完全恢复。压缩多媒体文件时大部分使用有损压缩。运行时压缩器:运行时压缩器(Run-Time Packer)是针对可执行文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间在内存中解压缩后执行。运行时压缩文件也是PE文件...
ezip mac csdn
最新发布
09-10
ezip mac csdn是指在Mac电脑上使用ezip软件访问CSDN(中国软件开发网)的意思。 在Mac电脑上,可以通过下载安装ezip软件来访问CSDN网站。ezip是一款支持多种协议和格式的压缩软件,可以用来解压缩文件和文件夹。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值