lab1-3 使用通用脱壳工具

最新推荐文章于 2025-04-14 13:06:43 发布
最新推荐文章于 2025-04-14 13:06:43 发布
阅读量917 收藏 4
点赞数 1
分类专栏: 恶意代码分析实战 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127659917
版权

目录

一、实验环境

二、实验思路

三、实验步骤

1、使用网络扫描工具扫描

2、查看文件是否被加壳

 3、使用通用脱壳工具进行脱壳

4、查看导入函数

5、查看程序中可打印的字符

一、实验环境

        操作系统:windows XP sp2

        软件:PEiD、Strings、VirSCAN.org、linxerUnpacker

二、实验思路

(1)利用网络扫描工具对目标程序进行扫描

(2)利用本地静态分析工具分析目标程序

(3)利用自动化脱壳工具进行脱壳

三、实验步骤

1、使用网络扫描工具扫描

        将文件上传到virscan.org进行扫描;

         从结果可以看到33个引擎报毒,说明该程序非常危险。

2、查看文件是否被加壳

        将待测文件放入PEiD中,可以看到PEiD显示文件加壳了,使用FSG进行加壳。

 3、使用通用脱壳工具进行脱壳

        将待测文件拖入linxerUnpacker中,可以看到该工具也识别了壳的类型,单击"脱壳",成功脱壳。

         使用PEiD查看壳是否被脱掉,可以看到PEiD已经识别程序由VC++6.0编写。

4、查看导入函数

        这一步的目的:通过查看导入函数,来猜测程序的功能。

        最好使用dependency walker,这里使用PEiD对导入函数进行查看:

        可以看到程序导入了三个动态链接库,分别为:MSVCRT.DLL、OLEAUT32.dll、ole32.dll。

          在ole32.dll中,可以看到程序主要使用了CUM(组件对象模型).

        OleInitialize():主要用于初始化;

        CoCreateInstance():创建一个实例。

5、查看程序中可打印的字符

        进行这一步的目的是:如果一个主机感染了该恶意代码,主机会出现哪些网络层面的特征和主机层面的特征。

        此处用的是脱壳后的程序。

        貌似没有什么具体的特征。

 

爬虫逆向:脱壳工具 frida-dexdump 的使用详解
数据知道的博客
03-06 4164
frida-dexdump 是一款基于 Frida 框架开发的强大工具,代码开源且操作简单。主要用于在运行时从 Android 应用中提取 DEX 文件(Dalvik Executable,安卓系统所使用的可执行文件格式),对于处理动态加载、加固等有壳保护的 Android 应用脱壳非常有效。在内存中转存dex文件,能脱大部分的壳。Frida-dexdump 通过 Frida 的 Hook 功能,动态脱壳 Android 应用的 Dex 文件。
通用脱壳工具
04-18
下面是我粗略测试后,能通过的壳列表,对于保护壳,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061107b、1082、10831084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.11.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.31.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.11.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.11.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.11.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.111.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.031.04、1.25w、2.0w、2.02、2.033.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02、v1.03.2、v1.03.3、v1.0b
通用脱壳工具gunpacker
02-13
Gunpacker,较老的一款脱壳工具,有需要的请下载使用
脱壳工具de4dot图形化工具:一款强大的文件脱壳工具
最新发布
gitblog_06756的博客
04-14 630
脱壳工具de4dot图形化工具:一款强大的文件脱壳工具 【下载地址】脱壳工具de4dot图形化工具脱壳工具 de4dot 图形化工具”是一款专为文件处理设计的开源工具,旨在为用户提供便捷的操作体验。通过直观的图形化界面,用户可以轻松对文件进行脱壳操作,无需复杂的命令行操作。工具内置详细的操作指南,帮助用户快速上手,确...
脱壳工具集合
04-23
【NET脱壳】DotnetDumper 【通用脱壳机】QuickUnpack ACKiller_0.12_beta AoRE_Unpacker_0.4 AspackDie NETUnpack
Android通用脱壳机FUPK3
weilailu001的博客
08-23 1641
这次要发的作品是我以前写的一个脱壳机FUPK3,这个脱壳机的思路应该是以前没人放过的,这里我不私藏了,放出来给大家来评评。 Android代码是开源的,那么通过直接修改Android源码,把运行时的所有dex数据dump出来,不就可以实现一个通用脱壳机了吗?FUPk3就是基于上面的思路来实现的。FUPK3需要修改Android源码,导出数据接口.不过,最为核心的脱壳操作是在一个so中执行的,...
脱壳工具
gddsky的小空间
11-05 2667
脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加壳了,给破解带来
Themida - Winlicense Ultra Unpacker 脱壳教程
05-08
脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
安全相关-加密工具-quick unpack万能脱壳工具 v4.0.zip
09-15
计算机网络安全相关
万能脱壳工具
09-08
工具适用于所有语言的应用程序的脱壳,方便、快捷。
脱壳工具.专业脱壳.去脱吧骚年
01-09
可以脱软件的壳.想脱壳软件的不防下载来脱一下..吧
各种脱壳工具使用方法
07-26
一些常用的及不常用的查壳,脱壳工具。种类很全
易语言通用脱壳机(鉴于目前易语言的加载机制,因此几乎所有的壳都可以被通用的脱掉.)
05-14
特别是独立编译支持相对来说有那么一点用处.因为如果你要Patch人家的程序.你当然希望Patch完以后可以直接运行而不是带上X个易语言的运行库文件。这一点ECE还不能够修复。 目前还不支持DLL 的脱壳。这个以后有时间在加入,因为易的DLL无法独立编译所以 这个应用相对来说很少。 另外对于Arm的双进程模式和Themida的bundler也还不支持
脱壳工具及模块
10-17
脱壳工具及模块 脱壳工具及模块 脱壳工具及模块 脱ooo
PinDemonium通用动态脱壳工具
weixin_34034670的博客
08-01 332
一、简介 本文是对16年的blackhat大会上PinDemonium通用动态脱壳工具介绍。 1. 通用脱壳工具简介 通用脱壳工具可以通过以下方法实现: -debuggers -kernel modules -hypervisor modules -Dynamic Binary Instrumentation (DBI) frameworks 其中P...
自己写的简单脱壳工具
六桥风月IT随笔
04-10 2717
这大半年在测试移动客户端时遇到了不少壳,研究之余写了几个小工具(各有适用场景),都已经发到github上了,在此分享下。这几个工具都是内存搜索然后dump,虽然出来的dex不一定都能重打包,但是从分析java代码的角度来说基本够用了,请大牛们轻喷。 drizzleDumper 最开始是照着android-unpacker写的,后面两个都是调用改版的drizzleDumper实现的Dump,然
Android脱壳工具
12-19
drizzledumper Android逆向脱壳工具,百分百能脱360壳,时间2018年,以后不保障
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值