使用文件:[moectf]UPX!
拖入ida看看
IDA分析失败,可能是加了壳保护。用ep查壳。
显示程序有upx壳,需要脱壳。
这里有两种脱壳方式:工具脱壳和手动脱壳。这里展示手动脱壳。
前置知识:
1. ep:entry point。程序的入口点的简称。
oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。
2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。因此需要将原先寄存器中操作系统提供给程序的值在解密执行后pop回程序,此时即可方便的找到程序的oep处。)
3. 在单步调试时,遇到向上跳转的语句,在语句下方设置断点(f2)后按f9跳过循环(经验之谈)
让我们开始调试吧!
64位文件,用x64dbg打开
f9跳转到ep
看到了一串push,那么这就是加壳程序的开始了。
这里找到pop有两种方法:
1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。所以只需要随RSP下硬件访问断点即可)
往下运行一步,rsp变红说明rsp发生改变。
右键rsp,点击跟随在转储
选中对应地址后设置断点
f9运行
断在了pop后面,我们已经走完了壳的程序
稍微有经验的话应该知道脱壳已经差不多结束了,继续单步走几步看看。
这里有个循环,直接下断跳过之
一个比较大的跳转,是osp的标志,f8跟进去看看
wow,好多jmp
走几步后出现了题目的信息,说明已经到达了主体的函数
我们重载一下程序,刚才的操作再来一遍
到达这里时停下。猜测这里就是oep
dump一下试试
点击scylla
点击转储,保存程序
查看一下我们dump下来的程序,看看有没有脱壳成功。
拖入ida
题面出现,脱壳成功!