EXE Pack ——脱壳

最新推荐文章于 2024-05-14 07:55:24 发布
最新推荐文章于 2024-05-14 07:55:24 发布
阅读量1.7k 收藏 1
点赞数
文章标签: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/103506280
版权

0x00

查看程序信息:
在这里插入图片描述
程序运行状态:
在这里插入图片描述

0X01调试器调试

在这里插入图片描述
一路F7,可以来到壳程序解密数据的代码,通过反汇编窗口可以实时的跟踪被修改的数据情况:
在这里插入图片描述
之后F7 进行单步调试,可以看到很多API函数的调用,在这里需要注意的是,CreateProcessA函数的调用,会新建一个与现有进程名字一样的新进程:
在这里插入图片描述
这个进程其实是一个守护进程的作用,在创建进程之后,就会退出当前进程,所以我们要做的操作就是绕过壳代码的创建进程这一操作,直接在上边的JE指令进行改跳转操作,或者直接将je指令修改为JMP指令:
在这里插入图片描述
在这一步跳过之后,继续单步调试:
之后会跳转到sysenter指令处,同时可以发现此处有SEH异常处理程序:
在这里插入图片描述
在这里插入图片描述
下一步。跳转到异常处理函数下断点,然后F9直接运行起来,程序断在异常处理函数上:
在这里插入图片描述
之后继续单步调试,就可以发现经典的ESP定律标志:pushad,到这里直接ESP定律就可以直接到OEP:
在这里插入图片描述
到达OEP
在这里插入图片描述
后边就可以直接脱壳Dump了

最后还需要注意的一点就是,在这里Dump之后,用工具进行修复转储文件的时候,如果用IRC进行修复的时候,修复之后运行程序,会发生错误,程序报错,在偏移00000000的地方错误,后来跟进去看了一下,是因为在执行完一个函数之后,在返回的时候,EIP的值被设为00000000,这个时候触发了异常,但是怎么解决,暂时还没想到好的方法。建议换一个修复工具(我使用的是Scylla_x86),换了修复工具重新进行修复之后,程序可以运行(也不太清楚什么原因,遇到这种情况的话,就换一种工具尝试一下吧)

0X02

总结:在这个程序的脱壳过程中,需要注意两点
1:守护进程的绕过
2:对异常函数的处理
3:对于sysenter指令的理解(该指令是从用户态到内核态的快速调用),在这个程序里边使用,作用应该是触发一个异常,然后让SEH异常处理链去处理
4:在修复转出的文件的时候,多试一下别的程序,多一种尝试,生活更美好

Psy_Hacker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 7029
加密壳脱壳
STM32F1PACK
06-02
STM32F1PACK包是意法半导体(STMicroelectronics)为STM32F1系列微控制器提供的一个软件包,该包包含了STM32F1系列的官方固件库和其他相关开发资源。这个包对于STM32F1的开发者来说至关重要,因为它提供了完整的驱动...
Pack解包.exe
05-06
aiiapp.Pack解包工具
破解软件 脱壳软件 AspackDie.eXe
06-28
脱壳工具 破解软件 脱壳软件 AspackDie.eXe 还不错
单文件EXE绿色软件制作工具​Enigma Virtual Box​利用 EnigmaVB 打包 Qt 应用程序
最新发布
05-14 1428
5. 在你应用程序的同级目录下,自动生成一个单文件应用程序,默认名称为 xxx_boxed.exe,此文件包含了所有的依赖文件,不需要再为其部署运行环境,将此文件拷贝到任意位置,直接双击即可使用。第三步:点击 “Browse...” 按钮,选择软件的安装位置,建议新建一个空的文件夹作为软件的安装目录,然后点击 “Next” 按钮;4. 点击“文件选项”按钮,在弹出框上勾选“压缩文件”(生成的单文件应用程序存储更小),点击“确定”按钮,最后,点击“执行封包”;
简单脱壳教程笔记
A powerful and unconstrained style
08-18 7222
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳工具ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
脱壳工具哪个好?
xzwh02的博客
08-01 955
其中包含了aspack脱壳机、vmprotect ultimate、EXECryptor修改版、upx脱壳工具、Scylla汉化版、EncryptPE修改版、万能脱壳工具等等,这些脱壳软件够自动识别壳类型和编译器,支持各种常见的类型,操作非常简单方便,功能也非常的强大,这里为大家提供了脱壳工具下载大全,感兴趣的朋友可以来绿色资源网免费下载体验!quick unpack是一款非常实用的万能脱壳工具哦,这款工具适用于任何范围,能够脱壳超多文件哦,让用户使用非常便携,感兴趣的朋友赶紧来下载试玩吧!
EXE、DLL文件的脱壳
平凡的心
03-29 9015
    这是因为文件使用了一些压缩加壳软件加密过,这就需要对文件进行解压脱壳处理后,才能汉化。这种压缩与我们平时接触的压缩工具如winzip,winrar等压缩不同,winzip压缩后的文件不能直接执行,而这种 EXE 压缩软件,EXE文件压缩后,仍可以运行。这种压缩工具把文件压缩后,会在文件开头一部分,加了一段解压代码。执行时该文件时,该代码先执行解压还原文件,不过这些都是在内存中完成的,由于
STM32 PACK包下载
07-21
STM32 PACK包是STMicroelectronics为STM32微控制器系列提供的一种软件开发支持,它包含了一系列必要的固件库、设备驱动程序、示例代码以及元数据,旨在简化基于STM32芯片的嵌入式系统开发。在Keil集成开发环境中,...
红黑全能自动脱壳机——全能脱壳
01-22
exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 ...
Microsoft Visual Studio 2010 Service Pack 1(exe
03-31
通过下载并安装提供的"Microsoft Visual Studio 2010 Service Pack 1.exe"文件,用户可以快速地将他们的Visual Studio 2010升级到SP1版本,享受更优质的开发体验。 总之,Visual Studio 2010 Service Pack 1是一个...
EXE程序脱壳工具
03-19
EXE程序脱壳工具
专门针对Exe与dll的加壳与脱壳工具
03-05
这是一组对应用程序加壳与脱壳工具。其中upx.exe能够将应用程序加壳,只需将其拖放到upx.exe图标上即可。
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 4088
历史:壳是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
脱壳--02.exe
weixin_45012273的博客
02-08 790
程序开始 使用OD打开程序 发现无法利用esp定律 程序直接运行 查找模块间调用 随便找到一个函数的调用 发现是FF15方式调用 所以是vs的程序 vs程序大致分成两种 vs20xx (特征函数:GetSystemTimeAsFileTime)和 vc++6.0(特征函数:GetVersion) 通过链接器版本 发现是vc6.0 直接在GetVersion上下断点 重新运行程序 断点断下 返回到调用处 vc6.0和易语言的第一个CALL都是GetVers...
查壳去壳和加壳的使用指南
dkop66的博客
11-17 4625
查壳去壳和加壳 PEid工具的具体使用方法
脱壳--03.exe OD脚本脱壳
weixin_45012273的博客
02-08 1260
和02程序类似 但是我们换一种方式脱壳 就是利用OD脚本脱壳 我们通过02程序知道壳代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat表中 在我们调用api的时候 并没有直接调用到api 而是加密后的api的代码 脚本的框架:只需要知道三个地址 获取真正api的地址 填写iat的地址和oep的地址 得到获取真正api的地址把api地址存放在一个临时变量里 中间不管他怎么加密 到填写IAT表的时候 都会填写我们事先保存的临时变量里的api的地址 我们现在只要调试出这三
对一个加壳的可执行文件进行脱壳三种方法
任浩的博客
02-03 1804
1、自动静态脱壳:通过一些脱壳工具即可,相当于解压缩,最为方便快捷 2、自动动态脱壳:运行可执行文件,让脱壳存根的的文件脱出原始的可执行文件。 3、手动脱壳:找到加壳算法程序,自己分析源程序进行脱壳。 ...
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6088
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
tkinter PACK
09-14
Tkinter中的pack()方法是一种布局管理器,用于将小部件放置在容器中。它通过逐个排列小部件来实现布局。pack()方法可以应用于Frame、Label、Button等Tkinter小部件。 使用pack()方法,可以按照不同的方向和位置将小部件放置在容器中。它有以下常用的选项: - side:指定小部件的位置,可以是TOP、BOTTOM、LEFT或RIGHT。 - anchor:指定小部件在其可用空间内的对齐方式,可以是N、S、E、W或CENTER。 - fill:指定小部件是否填充可用空间,可以是BOTH、X或Y。 - expand:指定小部件是否随容器的大小改变而扩展。 以下是一个示例代码,展示了如何使用pack()方法将三个按钮放置在窗口中: ``` import tkinter as tk root = tk.Tk() button1 = tk.Button(root, text="Button 1") button2 = tk.Button(root, text="Button 2") button3 = tk.Button(root, text="Button 3") button1.pack(side=tk.LEFT) button2.pack(side=tk.TOP) button3.pack(side=tk.RIGHT) root.mainloop() ``` 这段代码创建一个窗口,并在窗口中放置了三个按钮。其中button1位于左侧,button2位于顶部,button3位于右侧。 希望以上内容能够回答你的问题。如果还有其他问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值