IDA脱Linux下upx

本文介绍了如何利用IDA 7.0在Ubuntu 32位环境下远程脱去Linux程序上的UPX壳。详细步骤包括IDA的Debug配置、设置断点、动态调试以及通过IDC脚本dump内存来获取脱壳后的程序。文章提供了脱壳前后对比,适用于快速脱壳场景。
摘要由CSDN通过智能技术生成

背景

近日,在应急分析木马时发现加了upx壳,直接用linux下upx -d 脱壳不成功,在网上查找时发现没有针对IDA远程脱linux下upx壳的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加壳样本链接以便于自己尝试。

环境要求

1.IDA 7.0

2.ubuntu 32

PS:小白文,只讲怎么快速脱壳,原理部分自查。

一、脱壳前题

1.认识upx壳

     入口特征:PUSHAD,

     出口特征:POPAD,JMP********

     谨记:压缩壳,运行程序时壳的主要算法是解压缩过程,如果壳的特征不明显就需要自己判断,涉及到循环次数较多的代码时直接跳过循环。

2.实践操作

(1)ida Debug选项配置

(2)找到 IDA安装目录 ,将linux_server/server64拷贝到相应的ubuntu 系统中。

 

我这里直接放到了桌面上,拷贝进去之后把要调试文件和linux_server 赋予执行权限就能开始愉快的调试过程了,执行linux_server开启调试端口。

  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值