IDA脱Linux下upx

最新推荐文章于 2024-07-30 00:59:51 发布
最新推荐文章于 2024-07-30 00:59:51 发布
阅读量2k 收藏 4
点赞数 1
分类专栏: linux逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014715599/article/details/85782926
版权
本文介绍了如何利用IDA 7.0在Ubuntu 32位环境下远程脱去Linux程序上的UPX壳。详细步骤包括IDA的Debug配置、设置断点、动态调试以及通过IDC脚本dump内存来获取脱壳后的程序。文章提供了脱壳前后对比,适用于快速脱壳场景。
摘要由CSDN通过智能技术生成

背景

近日,在应急分析木马时发现加了upx壳,直接用linux下upx -d 脱壳不成功,在网上查找时发现没有针对IDA远程脱linux下upx壳的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加壳样本链接以便于自己尝试。

环境要求

1.IDA 7.0

2.ubuntu 32

PS:小白文,只讲怎么快速脱壳,原理部分自查。

一、脱壳前题

1.认识upx壳

     入口特征:PUSHAD,

     出口特征:POPAD,JMP********

     谨记:压缩壳,运行程序时壳的主要算法是解压缩过程,如果壳的特征不明显就需要自己判断,涉及到循环次数较多的代码时直接跳过循环。

2.实践操作

(1)ida Debug选项配置

(2)找到 IDA安装目录 ,将linux_server/server64拷贝到相应的ubuntu 系统中。

 

我这里直接放到了桌面上,拷贝进去之后把要调试文件和linux_server 赋予执行权限就能开始愉快的调试过程了,执行linux_server开启调试端口。

最低0.47元/天 解锁文章
Crystal52875
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ida调试linux程序,[原创]IDA动态调试ELF
weixin_32051661的博客
05-01 1635
0x00:环境待调试ELF文件IDA 7.0主机:Windows虚拟机:Linux达成效果:在Window上利用IDA远程动态调试linux里的ELF文件0x01:Unbuntu里运行IDA的服务器组件IDA附带以下组件:linux_server:在Linux计算机上执行的、用于调试32位Linux应用程序的服务器组件。linux_server64:在64位Linux计算机上执行的、用于调试64位...
UPX自动壳工具(2019测试成功)
04-09
UPX自动壳工具(2019测试成功),全自动壳,对于不会用OD的朋友,非常有用。
UPX:究极打包利器
lyndon
07-30 1195
UPX 的主要优点在于,它不仅可以大幅度减少文件体积,还能保持可执行文件的运行速度,几乎不影响程序的启动时间。
UPX
Zbw_OIer的博客
11-28 1534
什么是加壳 加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。 UPX壳 加壳可执行文件 UPX sample.exe 壳执行文件
upx壳(最简单方法之一)
2301_80820096的博客
04-13 1511
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行壳即可)首先拖入到od中,找到程序的入口点。首先使用快速壳的方法。
UPX手动
m0_46296905的博客
04-23 2000
壳入门,不喜勿喷,欢迎指正。 参考《加密与解密(第四版)》 0x01 壳&壳 首先了解一下什么是壳, 壳实质上是一个子程序,它在程序运行时首先取得控制权并对程序进行压缩。同时隐藏程序真正的OEP。 而壳的过程总体分为三个步骤: 查找真正的程序入口点 抓取内存镜像文件 重建PE文件 关于壳的类型有以下几种: 解压->运行 解压->运行->解压.->运行 解压 decoder|encoded code->decode ->exc Run th.
UPX压缩
Codeoooo 博客
06-15 1527
第一个 (RW_) Loadable Segment的p_offset文件偏移0x3AEE0 , p_memsz 大小 (0x4BC8), 这里我们将这一步份数据复制出来, 粘贴到我dump出来的偏移 0x57EE0 处。并修改第一个(RW_) Loadable Segment的文件偏移,P_offet = p_addr - 0x1000 , 这里 应该修改为 0x57EE0;这里是p_files和p_memsz 是错误的需要修正, 这里大小的计算为。打开原始文件 libexec.so 文件定位到。
windows下使用IDA远程调试linux(ubuntu)下编译的程序
lacoucou的专栏
05-02 1万+
1.背景真机:win7 x64 ida pro 6.8 虚拟机:ubuntu 16.04 x64 现在在win7下远程调试ubuntu内自己编译的程序。2.ubuntu内编译程序1.桌面建立test文件夹,并建立hello.c文件 写入代码:#include <stdio.h>int main(void) { printf("hello linux!"); return 0; }在test目录打
linux软件逆向分析,详解对ELF64之手动壳的逆向分析
weixin_30420045的博客
05-07 1335
应一位朋友之邀,对“吾爱论坛‘ELF64手脱upx壳实战’一文”进行了再重现,考虑到朋友他对原文过程理解不深,特抽空行文,着重对每个步骤、每个知识点进行了分解,现共享出来以回馈社会;同时此文对IDA远程调试、编写idc脚本有指导作用。原文:https://www.52pojie.cn/thread-1048649-1-1.html,是一篇打了精华标签的帖子,我希望你不要看作者写的,因为你如果按文中...
linux upx-3.94 可执行程序(压缩可执行文件)
03-30
可用来压缩可执行文件和so等。 UPX 是一款先进的可执行程序文件压缩器 压缩过的可执行文件体积缩小50%-70% 这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用
UPX加壳壳工具
11-30
UPX加壳工具,很好的一款软件,缺点是不支持.net开发的应用程序进行加壳或者壳处理。
UPX专用壳工具
04-02
可以成功UPX所有累型的加密壳。此工具经过多方测试,壳成功率90%以上。
IDA调试壳用例
05-24
IDA调试壳用例
UPX源码分析——加壳篇
chengman3837的博客
02-23 3963
0x00 前言 UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对E...
IDA 调试 Android 方法及简单的壳实现
DeathMemory的专栏
05-24 1万+
本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文中如有不对的地方还请留言指正。 前置环境 JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机 动态启动调试 Android Killer 编译 x.apk
Linux下安装UPX
菜鸡的博客
05-10 4191
upx 是一款压缩可执行文件的软件,压缩率在 20% 到 %70 之间。在可执行文件运行的时候并不需要解压软件,程序在内存中自动展开 下载 upx upx 请从 upx 官网下载,不要用包管理器进下载。一般来说发行版默认源的软件比较老可能不支持比较新的语言生成的二进制文件,有压坏二进制的风险。 本教程的下载地址可能不是最新版请访问 https://upx.github.io 下载最新版 wget https://github.com/upx/upx/releases/download/v3.96/upx-3
使用upx壳工具
热门推荐
qq_53532337的博客
09-30 2万+
使用upx壳工具壳 查壳工具链接:https://www.52pojie.cn/thread-437586-1-1.html 壳工具链接:https://github.com/upx/upx/releases 先查壳 一般做到逆向的部分题的时候,把文件丢进ida会发现函数特别少,大部分都是加壳了(以攻防世界新手区第7题为例链接:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0) ida打开只
ida for linux
最新发布
07-30
IDA Pro是一款广泛使用的逆向工程工具,特别适用于Linux系统。它是一个强大的反汇编器和调试器,常用于静态和动态分析软件程序,包括二进制文件(如ELF、PE等)。IDA能够帮助开发者查看程序的低级结构,理解函数和数据布局,查找API调用,以及插桩和修改代码。它的用户界面直观,支持脚本语言Python,可以方便地自定义工具和自动化任务。 在Linux上安装IDAPython(IDA的一个重要组成部分),通常需要先安装IDA本身,然后从官方提供的包管理器(如apt-get或yum)或从IDA官网下载适用于Linux的版本进行安装。一旦安装完成,就可以通过命令行或图形界面进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值