upx手动脱壳

最新推荐文章于 2024-07-09 00:09:55 发布
最新推荐文章于 2024-07-09 00:09:55 发布
阅读量397 收藏 1
点赞数 7
分类专栏: Re 文章标签: re upx
加油加油~
本文链接:https://blog.csdn.net/wcj126/article/details/139411616
版权

虽然upx已经出现了很多工具,但是出题人其实只需要根据工具或者一写地方,小小改一下就行了,所以我们有必要进行upx手动脱壳

这里我先简述一下脱壳的大概思路

我们直接反编译,会发现里面很多都看不见

但是为什么我们能运行呢? 期间肯定运行的时候,程序自己进行了解密的过程

我们的目的就是要断在解密后的那一刻,然后把程序dump下

然后就是细节(我的理解根据esp定理):

你既然要解密,那么你要压入栈,然后进行解密,你压入栈,又是大工程,那么就有很多的pop,push指令(32位好像popad)

你push后的解密我不管,那你是不是要jmp回来?

你jmp回来程序是不是就正常了?

OK,大致思路如此

这里我们用BUUCTF的新年快乐来举例

BUUCTF在线评测 (buuoj.cn)

____________________________________

可以看见是32位的信息

小蜘蛛x32打开(吾爱破解里面有)

这是我的设置,大家如果有和我不一样的,可以看一下是不是这的设置

进来之后,就看见了push

按一下f8

可以看见esp被修改了

(esp栈顶ebp栈低)

在这里右键,在内存窗口转到

可以看见

这里

其实就是存数据了

同时也在这里断点选择4字节(因为esp是四字节)

然后f9

然后就可以看见,有大跳(jump到很远)(这个方法比较粗糙哈,具体还是要多联合上下文,我比较菜)

双击进入

点击插件

第一步

他会直接创建一个dump文件

第二步

第三步

第四步选择之前的dump文件

就会出现一个succes

最后这个文件

就可以发现已经没壳了

_Nickname
关注
专栏目录
upx3.94手动脱壳
海阔天空
07-15 5132
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx加壳,使用ESP定...
手动脱壳upx
hanabi_sh
07-12 354
upx手动脱壳
upx脱壳手动
weixin_45574485的博客
08-28 2816
1.upx脱壳几乎可以算是最简单的了,第一步还是查壳 2.第二步当然是od打开,提示解析代码,是和否都可以,然后f8,打硬件断点。 3.此时再f9执行到硬件断点,可以看到popad,壳代码到这基本上结束了,后面就是oep。在下面的一个大跳jmp处断点,然后取消硬件断点,f9到断点。 4.然后f8过去,可以看到如下画面。此处作为oep,可以开始进行脱壳 5.右键——使用od调试进程 6.复...
手动UPX 壳实战
weixin_33797791的博客
08-07 136
作者:Fly2015 Windows平台的加壳软件还是比較多的,因此有非常多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳。首先第一步就是 查壳。然后才是 脱壳。 推荐比較好的查壳软件: PE Detective 、Exeinfo PE、DIE工具。   须要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52poji...
UPX手动脱壳
m0_46296905的博客
04-23 2063
脱壳入门,不喜勿喷,欢迎指正。 参考《加密与解密(第四版)》 0x01 壳&脱壳 首先了解一下什么是壳, 壳实质上是一个子程序,它在程序运行时首先取得控制权并对程序进行压缩。同时隐藏程序真正的OEP。 而脱壳的过程总体分为三个步骤: 查找真正的程序入口点 抓取内存镜像文件 重建PE文件 关于壳的类型有以下几种: 解压->运行 解压->运行->解压.->运行 解压 decoder|encoded code->decode ->exc Run th.
upx手动脱壳(esp定律手动脱壳
__ys的博客
06-02 1426
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方法: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
手动UPX脱壳演示
qq_41426887的博客
07-03 7052
首先,用PEid打开加壳后的程序CrackmeUPX.exe,可以发现使用的是UPX壳。UPX壳是一种比较简单的压缩壳,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
UPX win64 手动脱壳 手动加壳
08-23
手动脱壳 UPX 压缩的可执行文件,你可以按照以下步骤操作: 在下载的文件夹打开命令行工具 使用 UPX 压缩命令: upx 使用 UPX 解压命令: upx -d 其中 <path_to_your_executable> 是你要解压的 UPX 压缩文件的...
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
upx脱壳机--用于upx脱壳
02-05
7. **UPX**:可能包含了UPX压缩工具本身,用户可以借此了解UPX的工作原理或手动进行压缩。 8. **Langs**:可能包含多语言支持文件,使得软件能够适应不同语言环境的用户。 使用"upx脱壳机"进行脱壳的过程通常包括...
使用x64dbg手动UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 1874
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
通过手动upx去壳简单了解逆向
A_991128a的博客
08-27 2623
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
利用ESP定律法手动upx
2201_75522173的博客
07-07 493
ESP定律法是脱壳的利器,是应用频率最高的脱壳方法之一.
upx脱壳
m0_62280492的博客
07-09 2613
介绍CTF比赛中常见的upx壳类型
手脱UPX壳实战
junehappylove(王俊伟)的专栏
07-12 1270
速脱UPX壳 工具:OD(201版), PEiD v0.95,ImportREC v1.7, KMS10.exe(目标PE) 调试系统:WinXP 目标系统:Win10 步骤一:查壳 步骤二:加载程序,寻找OEP(使用ESP定律法,快速定位OEP) 这里说一下,我用的OD2.0.1版,对于upx这样简单的壳,直接就分析出了OEP的位置了,如下: 稍微等待一段时间(这个跟OD的配置有关,后面...
手动UPX壳的几种方法
十年磨一剑,霜刃未曾试!
05-05 5361
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法。1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置。要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到壳的循环当中,就出不来了。运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret。跳转之后的代码是popad,一般就是到
Microsoft Office Professional Plus 2007 Datasheet_CN_Final.doc
最新发布
10-11
Microsoft Office Professional Plus 2007 Datasheet_CN_Final.doc
手动脱壳UPX压缩可执行文件的操作指南
资源摘要信息:"UPX win64 手动脱壳与加壳操作指南" 知识点一:UPX概述 UPX(Ultimate Packer for eXecutables)是一种广泛应用于Windows平台的可执行文件压缩工具。它主要的功能是将可执行文件进行压缩,从而减小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_Nickname

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值