逆向工程核心原理之调试UPX压缩的notepad程序

最新推荐文章于 2023-12-01 15:29:34 发布
最新推荐文章于 2023-12-01 15:29:34 发布
阅读量447 收藏
点赞数
分类专栏: 逆向 文章标签: 逆向工程核心原理 调试UPX压缩的程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/79855909
版权

    notepad_upx第一个节区的RawDataSize为0,即第一个节区在磁盘文件中是不存在的,但是其Virtual Size值为0xF000,意味着,UPX压缩后的PE文件在运行瞬间将压缩的代码解压到(内存中的)第一个节区。


    notepad_upx的EP,第一个节区的起始地址0x01001000,存入edi,第二个节区的起始地址0x01010000,存入esi。


    把esi中的字节写入edi中,这里有个大循环,直到把该写的数据写完。然后跳出来到了pop esi处。



    又有一个循环,判断第一个节区中的数据减去0xE8后是不是小于等于1,也就是判断数据是否为0xE8/0xE9(call/jmp),找到之后还要判断数据后面的那个数据是否为0x1。(ja,大于跳)如果是0x1就执行下面这段代码,恢复call/jmp的地址。


    设置IAT。用GetProcAddress获取函数地址,然后将函数地址存储到EBX寄存器所指的原notepad.exe的IAT区域。


    下图为EDI所指的第二个节区。


    下图为第一节区


    IAT设置好之后会跳到下图断点所在的地方。


    往下单步执行几步就到了跳去OEP的地方。


    真正的OEP










wangtiankuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
notepad_upx.exe 学习程序upx,NOTEPAD.exe
08-27
逆向工程核心原理》一书中使用的程序notepad_upx.exe ,包括NOTEPAD.EXE ,UPX程序
逆行工程核心原理pdf、代码以及编译好的测试软件
02-08
超清的pdf,连代码都可以看清楚,而且目录很完整。里面附带了所有例子的源代码,怕有人无法搭建编译环境,所以还添加了代码编译好的程序
x-cmd pkg | upx - 一个开源的可执行文件压缩工具
edwinjhlee的博客
09-28 1065
UPX(全称: Ultimate Packer for eXecutables),是一个开源的可执行文件压缩工具。它的主要目的是将可执行文件和共享库(通常是二进制文件)压缩为更小的尺寸,从而减少磁盘占用空间和下载时间。UPX 采用无损压缩技术,可以在不影响可执行文件的功能的情况下(压缩后的文件仍可直接执行)减小文件的大小。它通常用于减小应用程序、二进制文件或脚本的大小,特别是在需要分发或传输这些文件时,以减少带宽和存储成本。
PyInstaller 使用UPX压缩减少exe大小
HowieXue 薛永浩的博客
03-11 8793
解压原理:是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。用户执行的只是这个外壳程序。当执行这个程序的时候这个壳就会把原来的程序在内存中解开,解开后,以后的就交给真正的程序。加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。UPX是一个著名的压缩壳,主要功能是压缩PE文件(比如exe,dll等文件),或者 将upx.exe放入当前 python/conda的环境目录下,
压缩加壳工具UPX编译及使用实例
D_Flash的博客
08-24 7729
压缩加壳工具UPX编译及使用实例
UPX压缩脱壳
Codeoooo 博客
06-15 1466
第一个 (RW_) Loadable Segment的p_offset文件偏移0x3AEE0 , p_memsz 大小 (0x4BC8), 这里我们将这一步份数据复制出来, 粘贴到我dump出来的偏移 0x57EE0 处。并修改第一个(RW_) Loadable Segment的文件偏移,P_offet = p_addr - 0x1000 , 这里 应该修改为 0x57EE0;这里是p_files和p_memsz 是错误的需要修正, 这里大小的计算为。打开原始文件 libexec.so 文件定位到。
UPX压缩文件最新版图形界面源程序(Delphi 11)
02-17
EXE文件和DLL文件压缩工具UPX图形界面源程序,通过该程序能够获得: 详细参见:https://blog.csdn.net/sensor_WU/article/details/129022703?spm=1001.2014.3001.5501 1. 最新版Delphi 11.2源程序; 2. 学会将命令行...
UPX 压缩图形工具(2023-02-14)
02-14
UPX 压缩图形工具(2023-02-14) 只需要两步即可实现exe文件的压缩(1:...4. UPX 支持许多不同的可执行文件格式 包含 Windows 程序和动态链接库、DOS 程序、 Linux 可执行文件和核心。 5. 本工具为UPX的图形界面工具
完整的UPX软件——用于压缩应用程序
09-01
UPX软件是专门对.exe应用程序进行脱壳压缩的,可以压缩50%到70%,但不影响应用程序的性能。这个版本是最完整的UPX软件,比其他版本要全。
易语言UPX压缩
07-22
易语言UPX压缩源码,UPX压缩
构建spec文件、打包PyQt程序为exe,UPX压缩一次搞定
最新发布
qq_51210361的博客
12-01 1049
使用.spec文件 + UPX压缩打包pyqt项目,使用-w参数生成文件夹。(项目较大加入-w参数,生成文件夹,项目较小使用-F参数,只生成一个单独的可执行文件)
逆向工程核心原理》学习笔记(一):代码逆向技术基础
闵行小鱼塘
12-12 2806
开始学习逆向,从《逆向工程核心原理》这本经典开始,本篇笔记是第一部分:代码逆向技术基础
反汇编——UPX调试
xiaosusushuai的博客
09-13 137
快速找到UPX文件POPAD指令
upx加壳原理
抠专栏
03-14 3895
原文 upx的功能有两种描述。一种叫做给程序加壳,另一种叫压缩程序。其实这两种表述都是正确的,只是从不同的 角度 对upx的描述。 upx的工作原理其实是这样的:首先将程序压缩。所谓的压缩包括两方面,一方面在程序的开头或者其他合适的 地方 插入一段代码,另一方面是将程序的其他地方做压缩压缩也可以叫做加密,因为压缩后的程序比较难看 懂,主要是 和原来的代码有很大的不同。最大的表现也就是
讲述UPX壳的运行原理
zacklin的专栏
04-01 7497
加壳软件可分为两类:一类是压缩,一类是保护。压缩的目的是减少程序体积,如ASPack、UPX、PECompact等。保护是为了防止程序被跟踪和调试,如ASProtect、幻影。壳的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。下面我们一起来认识一下一个程序有壳和没有壳的区别以及带UPX壳的一些特征,同时,我们也可以了解一下PE文件的结构。开始之前
【How2RE】 UPX壳及脱壳方式
Jeongon的博客
11-15 1153
RE入门,UPX
UPX源码分析——加壳篇
键盘的起始页
07-27 3333
0x00 前言UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,为感兴趣的研究者和使用者做出一点微不足道的贡献。0x01 编译一个debug版本的UPXUPX for Linux的源码位于其git仓库地址https://github.com/
UPX压缩pyinstaller的包
m0_70028411的博客
01-07 561
pyinstaller应该是知道UPX的,进一步查阅资料可知。pyinstaller会检查python安装路径下的Scripts文件夹(不是pyinstaller的文件夹)中是否含有upx.exe文件。有的话则使用UPX压缩(全自动,用户可能都不知情)同时显示“UPX is avalable”
UPX 极限压缩 UPX命令行
Kim的博客
02-01 3341
@echo off title UPX cd /d %~dp1 set filepath="%~1" set filename=%~n1 set "ps_cmd=powershell -c "[Timespan]::FromMilliseconds([Environment]::TickCount).totalseconds"" rem 获取开始时间 for /f %%i in ('%ps_cmd%') do (set s=%%i) rem 执行任务代码 upx --ultra-brute %file.
python pyinstaller upx压缩
09-08
Python PyInstaller是将Python代码转换为独立可执行文件的工具,而UPX是一种用于压缩和解压缩可执行文件的工具。使用PyInstaller时,我们可以选择是否使用UPX进行压缩。 使用UPX压缩在一定程度上可以减小可执行文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值