【笔记】单步跟踪法与UPX的脱壳理解

最新推荐文章于 2024-07-09 00:09:55 发布
最新推荐文章于 2024-07-09 00:09:55 发布
阅读量320 收藏 1
点赞数 1
原文链接:http://www.cnblogs.com/dilex/p/5547241.html
版权

用PEiD查壳

          292581-20160531200811758-2130788145.png
 UPX v0.89.6 - v1.02 / v1.05 - v1.22    这个是入门的壳,只是一个简单的压缩壳

用Stud_PE查看PE文件头信息

          292581-20160531200812367-1951626471.png
主要是看一下ImageBase的值 00400000,这是一个16进制数。在后面OD载入后,可以用这个值在内存映像中查看PE文件加载到内存后的情况。  还有EntryPoint的值: 0000E8C0 程序入口

OD载入看内存映像

          292581-20160531200812789-1382379265.png
      用OD载入,ALT+M打开这个窗口,就可以看到upx.exe程序加载到内存后的映像,主要有四块,但重要的是 区段UPX0区段UPX1。因为 区段UPX0就是原程序压缩后的代码存放区,而 区段UPX1就是UPX壳的执行代码。

OD中单步跟踪,找OEP

F8键单步跟踪法,学习了前辈 总结 的两点:

①程序都向下执行的,所以遇到向上的jump鼠标配合F4键,跳过向上的jump;

292581-20160531200813336-992042367.png
 遇到向下的jmp直接F8继续执行。
292581-20160531200813758-1339655472.png
 运行到0040E8E9可以看到这是一个向上跳转,而且通过下边的提示窗口得知这个跳转是已实现的。这时,就需要用鼠标点一下0040E8EB这一行, 也就是跳转的下一行。
292581-20160531200814102-920311398.png
  再按一下F4键,就可以通过上面向上跳的jump了
292581-20160531200814430-299226042.png

※注意:

292581-20160531200814774-1785716294.png
运行到这里,会遇到一个特殊情况,就是向上jump后面还是一个向上jump,我们可以用鼠标选中0040E974行的jump,再按F4,运行到0040E974行
292581-20160531200815196-815080804.png
 oh,no~~ 还是向上跳的, 那就老方法,鼠标选中下一行,再按F4?
不行, 0040E974行的下一行, 是一个nop指令,而OD是不能在nop上下断点的, 所以要注意。
因此我们可以顺势再向下一行,鼠标选中0040E97C行, 再按F4通过:
292581-20160531200815539-2000656633.png
 
原理就是这么简单,但能不能做成,还需要看耐心!

②当发生区段间的跳转, 证明程序即将运行到OEP。

292581-20160531200815977-222546986.png
 运行到上图的位置时, 因为已经到了壳代码区的最尾部了,因为从这个位置到区段的结尾,内存都是00,为空。
在0040EA06行上, 也是一个向上跳转, 但这些还用老方法的时候,就会发现,程序根本就不会暂停在0040EA08行,而是程序直接就运行了。这是因为这个jump向上执行的过程,执行了一个直接跳转到0040EA0E行的指令, 这个可以跟踪一下。所以这里可以鼠标直接选中0040EA0E行,再F4。

292581-20160531200816289-1252646003.png
 执行到这里, 后面是没代码, 而且这个jump很奇怪,没有红线标明会跳转到哪里了?
那是因为这是个长跳,就是长距离的跳转。就很可能是区段间的跳转哦!我可是有证据的:
先把内存映像拿下来:
292581-20160531200816680-1726693064.png
  这行指令是在 0040EA0F行上, 很明显是属于UPX1区段的。
但指令: jmp UPX.004010CC, 明显是属于UPX0区段的哦,是不是从UPX1区段跳转到UPX0区段了!
前辈总结过,区段间跳转,很可能就是进入到OEP的时候,所以我们再F8跟踪下去:
292581-20160531200817133-1740286602.png
 到这里, 就是脱壳后的OEP了。至于我为什么会知道呢?前辈的经验!

找到OEP后,OllyDump把脱壳后程序保存

程序暂停在004010CC行,就可以鼠标在汇编窗右键:
292581-20160531200817852-316219932.png
这是一个OllyDump插件,怎么加插件可以百度一下~~~~
292581-20160531200818586-531966939.png
 在dump的时候,要注意一下入口点地址,一般OD跟踪的都是可以通过EIP作为OEP。
另外就是下边的重建输入表, 对于UPX加壳的, 可以直接使用这里面的, 如果不使用会怎么样,等一下再说。
基本上没什么问题了, 就点击一下【脱壳】按钮进行保存,再运行一下保存后的可以执行文件,测试一下!没问题就OK了。
最后是再用PEiD查一下脱壳后的文件是否脱干净了:
292581-20160531200819055-296303270.png
   

用工具重建输入表

在这里,就不使用OllyDump里的重建输入表功能,一样在不选中重建输入表的情况下脱壳:
292581-20160531200819696-1886263570.png
 这样脱壳出来的文件是不可执行的:
292581-20160531200820196-1015961205.jpg
 因为在加壳后,程序的输入表都被破坏的,所以很多时候脱壳后都需要修复一下程序的输入表,这里用到的工具叫: Import REC

Import REC的使用

① 跟踪到OEP的OD,千万不要关
② 运行Import REC,在【选取一个活动进程】下面选取正在脱壳的程序进程, 然后还需要在右边【需要的IAT信息】中,在【OEP】项输入OD跟踪到的OEP, 再点击【自动查找IAT】, 最后点一下【获取输入表】。
292581-20160531200820805-46734499.png
 因为UPX壳并没有对API进行钩取,所以不用多做其他操作。但在其他一些壳中,壳会对API进行钩取,这时就需要点一下【无效函数】按钮,显示出一些无效函数的列表, 再进行清除就好!
③ 在完成上面的步骤后, 就可以点击【转储到文件】按钮,会弹出一个选择文件的窗口,这时我们需要选中在OD用OllyDump脱壳出来的文件就行了,再点打开。
292581-20160531200821477-511675863.png
④去查看一下, 会多了一个文件,要 做测试 运行一下并再查一下壳
292581-20160531200821930-399427057.png
292581-20160531200822430-1131450663.png

重建PE文件

292581-20160531200822992-1191670672.png
到了上面的步骤,其实脱壳的工作都基本上算完成了,但回想一下,加壳后的程序,是有两个比较重要的区段UPX0、UPX1,其实UPX1是存放壳代码的,但脱壳后,壳代码就没用了,那干嘛还留着呢?

在重建PE文件时, 需要用到工具LordPE,先运行LordPE:
292581-20160531200823774-839167424.png
 运行后,不要把文件拖进来,而是点【PE编辑器】按钮:

292581-20160531200824336-2025961063.jpg
292581-20160531200824946-1780551356.png
打开了需要重建的文件后, 会显示上面的窗口, 这里点右边的区段,再如下操作:
 
292581-20160531200825914-1245467369.jpg
 选中需要删除的区段,鼠标右键,在右键菜单中点击【清除区段】,再关闭【区段表】窗口,回到【PE编辑器】窗口, 先点一下【保存】,再点【确认】哦!
此时窗口自动关闭,回到LoadPE, 这里需要点击右侧的【重建PE】按钮:
292581-20160531200826774-1576228999.png
选中刚刚操作的文件:
292581-20160531200827539-1876316066.jpg
 就自动重建完成的:
292581-20160531200828149-1436651971.jpg
 
最后, 一定要运行一下做测试! OK~~~~
 

 
 





附件列表

 

转载于:https://www.cnblogs.com/dilex/p/5547241.html

weixin_30344995
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows x64内核中修改进程入口点
muy的专栏
07-05 2735
现如今Windows x64已经很普遍了。基于内核驱动,监视进程创建,在进程主线程启动之前修改其入口点以便执行一段自己的代码是十分有用的。本文以Windows 7 x64为基础,对这个问题进行了尝试。
linux 软件脱壳机,关于UPX脱壳后程序无运行
weixin_29164497的博客
05-06 1979
如何实现upx脱壳(请详细说明步骤和软件)?upx 关于脱壳的命令格式如下:upx -d 要脱壳的文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了啊D壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Marku...
UPX脱壳
qq_53008544的博客
11-11 4167
upx脱壳以“buu re 新年快乐”题目为例。 首先将题目解压后拖进Exeinfope 可发现题目文件为32位,且加了upx壳,其实upx脱壳比较简单,但是我总是忘记步骤,因而记录一下。 我们再cmd打开控制台,由于题目文件和upx脱壳工具保存在D盘中,故先输入“D:”进入D盘,再输入“cd upx脱壳工具的地址”。此时已经进入了upx脱壳工具的文件夹,文件夹里有upx.exe文件,故可输入“upx -d 目标文件所在位置”。 完成脱壳后下方显示“Unpacked 1 file.”,表..
upx脱壳
最新发布
m0_62280492的博客
07-09 1583
介绍CTF比赛中常见的upx壳类型
OD脱壳-再次载入-软件无找到入口
Bill
03-26 1893
OD脱壳后出现无找到入口
手脱UPX v0.89.6 - v1.02
weixin_30236595的博客
10-21 189
声明: 只为纪录自己的脱壳历程,高手勿喷 这个壳的脱很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 00457170 > 60 pushad ; //入口 00457171 BE 00904300 mov esi,吾爱破解.00439000...
单步跟踪脱壳.zip
09-12
单步跟踪脱壳是逆向工程中的一个重要技术,它涉及到对可执行程序的深入理解和调试技巧。在本文中,我们将详细探讨这个主题,并结合给定的文件资源进行阐述。 首先,我们需要理解什么是"脱壳"。脱壳,或者称为反壳...
3.VT调试器实现单步跟踪.rar
10-20
4. **查看变量与内存**:在单步跟踪过程中,查看和理解变量的变化以及内存状态对于定位问题非常有帮助。VT调试器提供了查看和修改变量值,以及查看内存块的功能,可以帮助开发者深入理解程序内部状态。 5. **调用...
upx手动脱壳
qq_36963214的博客
10-26 6861
upx upx是一个开源的工具,可以到github下载upx upx简单的用 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
GDB调式工具学习笔记---单步执行和跟踪函数调用
weixin_44686101的博客
04-11 828
GDB调式工具学习笔记---单步执行和跟踪函数调用简介1.单步执行和跟踪函数调用1.1 示例程序1.2 常用命令1.2.1 help1.2.2 list (l)1.2.3 quit1.2.4 start1.2.5 next(n)1.2.6 step(s)1.2.7 backtrace(bt)1.2.8 info(i)1.2.9 frame(f)1.2.10 print(p)1.2.11 set var1.2.12 finish1.3 命令小结 简介 在使用图形化ide进行程序开发时,通常编辑工具都会自带调试
windows upx脱壳
08-24
UPX脱壳的过程可以通过寻找可疑点(如jmp或者ret指令)、设置访问断点以及单步调试等方来实现。引用、、 通过分析UPX的文件头,可以找到UPX的头部信息并进行抹去,使得脱壳软件无正确脱壳。此外,UPX脱壳过程中...
UPX脱壳机,你们懂的
07-07
一款强力的UPX脱壳机,好东西不多解释。如果出现使用问题或者交流脱壳技术的话,可给我发邮件541977545@qq.com
UPX专用脱壳工具
04-02
可以成功脱UPX所有累型的加密壳。此工具经过多方测试,脱壳成功率90%以上。
UPX脱壳工具.exe
01-15
可以用这个工具脱UPX加过壳的exe可执行程序....................................
专用UPX脱壳机加密解密
12-11
UPX脱壳机加密解密工具 UPX脱壳机加密解密工具
NETBOX BT大改造
hubowei的专栏
11-28 829
BOX-NETBOX BT大改造!带全套软件! NETBOX BT大改造!带全套软件!     改造NETBOX!要先准备工具!我这里提供给大家了! ASPACK加壳破解版 c32Asm中文版(精简) quickunpack汉化版 资源替换工具 -----eXeScope650 -----ResHacker.exe uedit32 10.2 注册版(精简)
UPX脱壳逐一跟踪分析
qq_50536062的博客
03-07 841
UPX脱壳逐一跟踪分析写在前面OD跟踪命令先结合PE知识分析分析“新年快乐.exe” 写在前面 之前看到的UPX脱壳文章都只是教了方,对UPX的原理少有提及。看了《逆核》的UPX脱壳一章后,俺尝试把UPX脱壳与PE文件结构的知识结合起来整理了一些(也可联系压缩器Paker的知识)。 分析样本来自BUUCTF:Reverse题目“新年快乐”(本文将寻找样本的OEP) OD跟踪命令 可能会用到的几个跟踪命令: 命令 快捷键 作用 Animate Into Ctrl+F7 反复执行Step In
通过手动给upx去壳简单了解逆向
A_991128a的博客
08-27 2560
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
手动脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
qingye
10-11 4273
手动脱壳  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 教程下载
DEBUG调试:单步跟踪汇编程序执行与实例
在汇编语言上机过程中,单步...单步跟踪执行程序是学习汇编语言的重要环节,它结合了理论与实践,有助于培养程序员的底层理解和问题解决能力。通过DEBUG的使用,学生能够深入剖析程序的执行流程,从而提高编程技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值