lab1-3 使用通用脱壳工具

最新推荐文章于 2024-11-19 02:30:00 发布
原创 最新推荐文章于 2024-11-19 02:30:00 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全

本文介绍了一个针对未知恶意代码的分析过程。首先通过网络扫描工具识别潜在威胁,再使用PEiD等工具分析文件是否被加壳及壳的类型。接着采用linxerUnpacker进行脱壳,并检查导入函数推测程序功能。最后分析程序中的可打印字符以确定其可能产生的特征。

目录

一、实验环境

二、实验思路

三、实验步骤

1、使用网络扫描工具扫描

2、查看文件是否被加壳

 3、使用通用脱壳工具进行脱壳

4、查看导入函数

5、查看程序中可打印的字符

一、实验环境

        操作系统:windows XP sp2

        软件:PEiD、Strings、VirSCAN.org、linxerUnpacker

二、实验思路

(1)利用网络扫描工具对目标程序进行扫描

(2)利用本地静态分析工具分析目标程序

(3)利用自动化脱壳工具进行脱壳

三、实验步骤

1、使用网络扫描工具扫描

        将文件上传到virscan.org进行扫描;

         从结果可以看到33个引擎报毒,说明该程序非常危险。

最低0.47元/天 解锁文章
爬虫逆向:脱壳工具 frida-dexdump 的使用详解
数据知道的博客
03-06 1万+
frida-dexdump 是一款基于 Frida 框架开发的强大工具,代码开源且操作简单。主要用于在运行时从 Android 应用中提取 DEX 文件(Dalvik Executable,安卓系统所使用的可执行文件格式),对于处理动态加载、加固等有壳保护的 Android 应用脱壳非常有效。在内存中转存dex文件,能脱大部分的壳。Frida-dexdump 通过 Frida 的 Hook 功能,动态脱壳 Android 应用的 Dex 文件。
Android通用脱壳机FUPK3
weilailu001的博客
08-23 1675
这次要发的作品是我以前写的一个脱壳机FUPK3,这个脱壳机的思路应该是以前没人放过的,这里我不私藏了,放出来给大家来评评。 Android代码是开源的,那么通过直接修改Android源码,把运行时的所有dex数据dump出来,不就可以实现一个通用脱壳机了吗?FUPk3就是基于上面的思路来实现的。FUPK3需要修改Android源码,导出数据接口.不过,最为核心的脱壳操作是在一个so中执行的,...
Themida - Winlicense Ultra Unpacker 脱壳教程
05-08
1. 利用 Odbg110 脱掉 WinLicense1.x—2.x的加密壳 软件:OD 插件:ODBGScript v1.82.6、StrongOD 0.4.8.892、PhantOm 1.79、ARImpRec.dll、 脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是,如果脱的是32位系统的壳,请在32位系统中进行操作,不然会有意想不到的错误出现。 5. 所需要的所有插件及脚本都已经放置到软件包中了! 6. 重要内容说三遍:关闭杀毒软件*10000!哈哈!
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1454
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
脱壳程序linxerUnpacker
06-15
脱壳程序linxerUnpacker,比较不错的智能脱壳程序,自动查壳解壳!
恶意代码分析入门--通过脱壳机能够减轻我们的很多工作(chapter1_Lab01-03
最新发布
书山有路勤为径,学海无涯苦作舟
11-19 379
Lab 1-3分析lab01-03.exe文件。
通用脱壳工具
04-18
下面是我粗略测试后,能通过的壳列表,对于保护壳,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061107b、1082、10831084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.11.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.31.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.11.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.11.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.11.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.111.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.031.04、1.25w、2.0w、2.02、2.033.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02、v1.03.2、v1.03.3、v1.0b
通用脱壳工具gunpacker
02-13
Gunpacker,较老的一款脱壳工具,有需要的请下载使用
恶意代码分析实战lab1-1/lab1-2/lab1-3/lab1-4
YANG12345_6的博客
10-12 1338
恶意代码分析实战lab1-1lab1-2lab1-3 之前看过一个学长的简历,做过dll注入和恶意代码分析,于是自己也想尝试一下,dll注入只做过两个比较简单的例子,来进军一下恶意代码分析。 lab1-1 文件检测网站:virustotal.com. 不知道这个网站是做什么的,测试一下 上传一个没有问题的文件: 检测结果全是绿的 上传一个有问题的文件: 下面将实验给的文件拖进去分析: lab1-1.dll lab1-1.exe 编译时间: 之前学了PE文件结构,但是学归学,没有应用过还是啥都记不住,
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
脱壳工具集合
04-23
【NET脱壳】DotnetDumper 【通用脱壳机】QuickUnpack ACKiller_0.12_beta AoRE_Unpacker_0.4 AspackDie NETUnpack
万能脱壳工具
09-08
工具适用于所有语言的应用程序的脱壳,方便、快捷。
脱壳工具.专业脱壳.去脱吧骚年
01-09
可以脱软件的壳.想脱壳软件的不防下载来脱一下..吧
各种脱壳工具使用方法
07-26
一些常用的及不常用的查壳,脱壳工具。种类很全
易语言通用脱壳机(鉴于目前易语言的加载机制,因此几乎所有的壳都可以被通用的脱掉.)
05-14
特别是独立编译支持相对来说有那么一点用处.因为如果你要Patch人家的程序.你当然希望Patch完以后可以直接运行而不是带上X个易语言的运行库文件。这一点ECE还不能够修复。 目前还不支持DLL 的脱壳。这个以后有时间在加入,因为易的DLL无法独立编译所以 这个应用相对来说很少。 另外对于Arm的双进程模式和Themida的bundler也还不支持
脱壳工具
gddsky的小空间
11-05 2767
脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加壳了,给破解带来
PinDemonium通用动态脱壳工具
weixin_34034670的博客
08-01 352
一、简介 本文是对16年的blackhat大会上PinDemonium通用动态脱壳工具介绍。 1. 通用脱壳工具简介 通用脱壳工具可以通过以下方法实现: -debuggers -kernel modules -hypervisor modules -Dynamic Binary Instrumentation (DBI) frameworks 其中P...
脱壳工具及模块
10-17
脱壳工具及模块 脱壳工具及模块 脱壳工具及模块 脱ooo
PECompact 2.x-3.x 脱壳工具研究
PECompact中文版可能包含特定的加密措施,或对压缩算法有所调整,这些调整可能并不被常用脱壳工具所了解,因此难以直接使用通用工具脱壳。 #### 知识产权保护问题 在脱壳过程中,需考虑到软件的知识产权保护问题。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值