背景
近日,在应急分析木马时发现加了upx壳,直接用linux下upx -d 脱壳不成功,在网上查找时发现没有针对IDA远程脱linux下upx壳的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加壳样本链接以便于自己尝试。
环境要求
1.IDA 7.0
2.ubuntu 32
PS:小白文,只讲怎么快速脱壳,原理部分自查。
一、脱壳前题
1.认识upx壳
入口特征:PUSHAD,
出口特征:POPAD,JMP********
谨记:压缩壳,运行程序时壳的主要算法是解压缩过程,如果壳的特征不明显就需要自己判断,涉及到循环次数较多的代码时直接跳过循环。
2.实践操作
(1)ida Debug选项配置
(2)找到 IDA安装目录 ,将linux_server/server64拷贝到相应的ubuntu 系统中。
我这里直接放到了桌面上,拷贝进去之后把要调试文件和linux_server 赋予执行权限就能开始愉快的调试过程了,执行linux_server开启调试端口。