UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳

最新推荐文章于 2023-05-15 18:17:15 发布
最新推荐文章于 2023-05-15 18:17:15 发布
阅读量930 收藏 1
点赞数
原文链接:http://www.cnblogs.com/zhangsz/p/4749708.html
版权

     UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo这个壳很容易脱壳。当然,手动只是查找到脱壳的位置,然后用OD的插件即可脱壳了。

下面举个CrackMes的实例,看下如何脱这个壳,使用的依旧是ESP定律的方法找OEP,程序入口点。

(1)OD载入程序,会提示压缩或是加密或是嵌入程序等提示,问你要不要分析:这里不要分析,点击[否]

<ignore_js_op> 

(2)进入第一个入口为:PUSHAD 

<ignore_js_op> 


  1. 0046AC00 >  60              pushad                                                ;这里是不分析后,进入的入口(加壳后的程序的口,不是程序真正的OEP)。
  2. 0046AC01    BE 00104400     mov esi,ceycey.00441000
  3. 0046AC06    8DBE 0000FCFF   lea edi,dword ptr ds:[esi+0xFFFC0000]
  4. 0046AC0C    C787 D0940500 D>mov dword ptr ds:[edi+0x594D0],0x10A125D>
  5. 0046AC16    57              push edi                                 ; ntdll.7C930228
  6. 0046AC17    83CD FF         or ebp,0xFFFFFFFF
  7. 0046AC1A    EB 0E           jmp Xceycey.0046AC2A
  8. 0046AC1C    90              nop
  9. 0046AC1D    90              nop
  10. 0046AC1E    90              nop
  11. 0046AC1F    90              nop
  12. 0046AC20    8A06            mov al,byte ptr ds:[esi]
复制代码

(3)往下拖动鼠标找Popad,这里可以使用单步,如果遇到向上跳转的,在这条指令下面点一下鼠标,然后F4。但是,也可以直接滚动鼠标,直接到我们要找的位置。如下:

<ignore_js_op> 

  1. 0046AD0C  ^\E2 D9           loopd Xceycey.0046ACE7                                                 ;看到loopd基本上快到了
  2. 0046AD0E    8DBE 00700600   lea edi,dword ptr ds:[esi+0x67000]
  3. 0046AD14    8B07            mov eax,dword ptr ds:[edi]
  4. 0046AD16    09C0            or eax,eax
  5. 0046AD18    74 3C           je Xceycey.0046AD56
  6. 0046AD1A    8B5F 04         mov ebx,dword ptr ds:[edi+0x4]           ; ntdll.7C96F7E7
  7. 0046AD1D    8D8430 BCA90600 lea eax,dword ptr ds:[eax+esi+0x6A9BC]
  8. 0046AD24    01F3            add ebx,esi
  9. 0046AD26    50              push eax
  10. 0046AD27    83C7 08         add edi,0x8
  11. 0046AD2A    FF96 5CAA0600   call dword ptr ds:[esi+0x6AA5C]
  12. 0046AD30    95              xchg eax,ebp
  13. 0046AD31    8A07            mov al,byte ptr ds:[edi]
  14. 0046AD33    47              inc edi                                  ; ntdll.7C930228
  15. 0046AD34    08C0            or al,al
  16. 0046AD36  ^ 74 DC           je Xceycey.0046AD14
  17. 0046AD38    89F9            mov ecx,edi                              ; ntdll.7C930228
  18. 0046AD3A    57              push edi                                 ; ntdll.7C930228
  19. 0046AD3B    48              dec eax
  20. 0046AD3C    F2:AE           repne scas byte ptr es:[edi]
  21. 0046AD3E    55              push ebp
  22. 0046AD3F    FF96 60AA0600   call dword ptr ds:[esi+0x6AA60]
  23. 0046AD45    09C0            or eax,eax
  24. 0046AD47    74 07           je Xceycey.0046AD50
  25. 0046AD49    8903            mov dword ptr ds:[ebx],eax
  26. 0046AD4B    83C3 04         add ebx,0x4
  27. 0046AD4E  ^ EB E1           jmp Xceycey.0046AD31
  28. 0046AD50    FF96 64AA0600   call dword ptr ds:[esi+0x6AA64]
  29. 0046AD56    61              popad                                                      ;这里是popad,到了这里,基本上就找到了。
  30. 0046AD57  ^ E9 98CBFEFF     jmp ceycey.004578F4                                             ;在这个jmp上F2下断点,直接F9到这里。然后点击F8,就到程序的OEP了。
  31. 0046AD5C  ^ 74 AD           je Xceycey.0046AD0B
复制代码

(4)已经成功找到OEP。(在popad下面的 jmp  XXXX 上F2下断点,直接F9到这里。然后点击F8,就到程序的OEP了。)

<ignore_js_op> 

(5)使用脱壳插件脱壳:

<ignore_js_op> 

<ignore_js_op> 

点脱壳后,保存一个新文件即可,然后查看新文件,已经脱壳成功。
壳有很多种,方法不一样,这里只是针对这一个壳的脱法。。

转载于:https://www.cnblogs.com/zhangsz/p/4749708.html

weixin_30517001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手动UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo+修复
学习........
11-30 1万+
[声明]:纯属技术交流[对象]:flyODBG查 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & LaszloOD载入.flyODBG,也就是对flyODBG,00581ED0 >  60                 pushad00581ED1    BE 00304F00        mov esi,flyODBG.004F3
手工UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
kong62‘s Blog
08-29 2560
刚在网上找了一个gh0st3.6,准备做下免杀,结果发现已经被加了一层万恶的子,真烦人啊。 peid查显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo <img title= "手工UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog"
手工UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stu...
weixin_33982670的博客
06-03 375
为什么80%的码农都做不了架构师?&gt;&gt;&gt; ...
手动UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
qingye
10-11 4241
手动  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 教程下载
UPX 程序
07-21
UPX 程序,这个程序很小巧,对绝大数的UPX都有很好的效果
工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
最新发布
05-27
UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩工具、可执行文件加器,该程序的缺点是只能使用命令控制台运行。 .................. Free UPX简称FUPX,是专门针对UPX开发的图形窗口界面程序,...
UPX机,你们懂的
07-07
一款强力的UPX机,好东西不多解释。如果出现使用问题或者交流技术的话,可给我发邮件541977545@qq.com
upx--用于upx
02-05
用于upx,简单的工具,在Windows环境下可以使用
upx-3.96.zip
08-10
python项目达标提示:UPX is not available时补丁软件
UPX v0.89.6 - v1.02
weixin_30236595的博客
10-21 181
声明: 只为纪录自己的历程,高手勿喷 这个法很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 00457170 &gt; 60 pushad ; //入口 00457171 BE 00904300 mov esi,吾爱破解.00439000...
专用UPX机加密解密
12-11
UPX机加密解密工具 UPX机加密解密工具
UPX的几种方法
xiaoyuai1234的博客
05-20 1万+
最近在研究各个方法,有些心得,和大家分享一下如何手UPX 我们的流程是 PEID查 得知的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
UPX总结
热门推荐
fawdlstty的博客
12-19 1万+
我近期研究了一下UPX方法,下面给出示例: UPX作为一款元老级PE加密,在以前的那个年代盛行,著名病毒【熊猫烧香】就是使用这款加密。 现在我们一起来UPX来揭开它的神秘面纱。 首先,PEiD载入含UPX的程序,结果如下: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 然后用OD载入,OEP如下:
170624 逆向-失败的
whklhhhh的博客
06-25 633
1625-5 王子昂 总结《2017年6月24日》 【连续第265天总结】 A. 前瞻 B. 明天考试于是基本都在复习高数 拽了一个?难度的CrackMe试试,拖入PEiD发现第一次遇到 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d
wireshark取证案例学习笔记
corner55的博客
05-15 1225
有一封信引起了她的注意,它显然是垃圾邮件,但躲过了邮箱的邮件过滤。在等待引渡文件准备的时间里,你和你的团队继续密密地监控她的行为。没意思,张发财女士关掉了浏览器窗口,然后开始一天的工作。图片的md5不能另存为进行md5校验,可以使用压缩软件,当使用Winrar打开后会发现图片是单独的,解压出来,进行校验。你的任务是通过分析pcap文件,找出张发财女士点击了链接后,计算机系统发生了什么。幸运的是,在她消失之前,侦查人员一直在监视她的网络。你的任务是找出张小花发了什么邮件,她去了哪里,并还原一切线索。
linux 软件机,关于UPX后程序无法运行
weixin_29164497的博客
05-06 1914
如何实现upx(请详细说明步骤和软件)?upx 关于的命令格式如下:upx -d 要的文件如:UPX -d 132.EXEpEID 里有个通用机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了啊DUPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -&gt; Marku...
20202413 2021-2022-2 《网络与系统攻防技术》实验四实验报告
weixin_51198288的博客
04-05 596
感谢前人栽树
pyinstaller: error: ambiguous option: --upx could match --upx-exclude, --upx-dir
05-03
这个错误提示是因为在使用 PyInstaller 打包的时候,你使用了一个模糊的选项 `--upx`,而这个选项可能会匹配到多个选项,导致不明确。解决这个问题的方法是使用更具体的选项。 如果你想使用 UPX 压缩你的可执行文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值