通过查看堆栈_手工脱壳

最新推荐文章于 2024-03-21 09:40:38 发布
最新推荐文章于 2024-03-21 09:40:38 发布
阅读量175 收藏
点赞数
原文链接:http://www.cnblogs.com/LyShark/p/11141508.html
版权

通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别,但有些壳会采用伪装技术来混淆侦壳程序。

 

下面还是使用原来的课件,本次我们通过查看堆栈进行脱壳,先来下载以下这个课件把。

DIE查壳工具:https://files.cnblogs.com/files/LyShark/DiE_0.64.zip
课件内容:https://files.cnblogs.com/files/LyShark/ASPack.zip

 

1.直接开搞,将课件拖入OD,直接诶运行OD让程序跑起来。

 

2.观察堆栈窗口,找到下面的部分,SE处理程序。

 

3.堆栈窗口,向上找,到达这个段的断首位置。我们会看到几个标红的位置,全部记录下来。

 

4.逐个排除,这里有个小技巧,我们不要选择kernel32.xxx,user32.xxx 这种的,然后尽量选择地址靠后的。

0012FF14 |0047400A 返回到 ASPack.0047400A
0012FF24 |0046BBD1 返回到 ASPack.0046BBD1 来自 ASPack.00473FC3
0012FF38 |0045DCC5 返回到 ASPack.0045DCC5 来自 ASPack.0046BBBC
0012FF78 |76309B35 返回到 IMM32.76309B35 来自 kernel32.InterlockedDecrement
0012FF88 |76302B56 返回到 IMM32.76302B56 来自 IMM32.ImmUnlockClientImc

 

5.先看第一个,右键-> 反汇编窗口跟随。

 

6.然后在反汇编窗口中向上托,到断首,看是不是OEP,很明显这个不是。

 

7.这里直接看第三个把,节约篇幅跳过第二个了,第二个不是。

 

8.反汇编窗口,向上推,推到断首,看到了SE处理程序字样,没错,就是OEP。

 

9.下一步是,让其下次运行程序后,停在这个入口地指处,直接点击右键,数据窗口中跟随。

 

10.直接在数据窗口的开头出,下一个硬件执行断点。

 

11.重新载入程序,直接点击运行按钮,让程序跑起来,默认程序会断下,断在OEP的位置。

 

12.直接脱掉就好。

转载于:https://www.cnblogs.com/LyShark/p/11141508.html

weixin_30542079
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向脱壳破解分析基础学习笔记七 堆栈图(重点)
xiaotuge_always的博客
08-01 289
本文为本人 大神论坛 逆向破解脱壳学习笔记之一,为本人对以往所学的回顾和总结,可能会有谬误之处,欢迎大家指出。 陆续将不断有笔记放出,希望能对想要入门的萌新有所帮助,一起进步 堆栈图 首先给定一段反汇编代码,分析该段代码的堆栈的变化情况,并绘制出堆栈图 函数调用 00401168 |. 6A 02 push 0x2 0040116A |. 6A 01 push 0x1 0040116C |. E8 99FEFFFF call HelloWor.0040100A
python查看函数的调用堆栈,记录调用信息
s___j的博客
11-18 4117
需求: 程序运行过程中,要把某个功能调用的函数,函数中的代码,以及注释说明记录下来输出到log中,有什么内置模块或者第三方模块可以实现呢? 网上查找了以下,找到了想要的答案,记录下来方便日后查看 思路: 1、用inspect模块 2、用sys._getframe模块 先说下sys._getframe模块的用法: 用该模块主要是查看函数被什么函数调用以及被第几行调用及被调用函数所在文件 import sys def get_cur_info(): print(sys._getframe().f_c
pycharm 调试的时候怎么看堆栈信息
最新发布
zengliguang的专栏
03-21 682
设置断点后,使用调试功能(例如点击绿色的小虫子、F9键等)开始调试,PyCharm会在你设置断点的位置暂停执行。此时,你可以查看局部变量、表达式的值,或者通过上述提到的方法查看堆栈信息。可以通过点击鼠标右键,在弹出菜单中选择“Heap Stack Trace”查看当前的堆栈跟踪信息。通过在右侧的“变量监视”窗口查看当前堆栈中变量的值。: 点击PyCharm底部的“调试器”工具窗口,可以查看当前线程的堆栈跟踪信息。(MacOS),可以直接在代码中设置临时断点,查看当前位置的堆栈信息。
python 查看函数调用栈 文件名 行号 函数名
whatday的专栏
05-15 4051
sys._getframe()得到如下对象: typedef struct _frame { PyObject_VAR_HEAD struct _frame *f_back; /* 调用者的帧 */ PyCodeObject *f_code; /* 帧对应的字节码对象 */ PyObject *f_builtins; /* 内置名字...
pytb:用于检查正在运行的进程的python堆栈的实用程序(仅x64 linux)
05-19
pytb 用于检查正在运行的进程的python堆栈的实用程序(仅x64 linux) 特征: 对Python3友好(pytb本身需要python2才能运行,但是正在分析的进程可以是python3) Greenlet(gevent)友好,可以显示每个greenlet的stacktrace 只需读取/proc/<pid>/mem ,因此不需要附加到目标进程(例如,如果您不想停止目标进程,或者正在调试不可附加的进程,例如D状态进程) ) 错误: 仅Linux,仅64位。 安装: pip install pytb 用法: sudo pytb [pid] 将显示每个python线程的stacktrace。 如果您还想查看greenlet堆栈跟踪,请使用 sudo pytb -g [pid] 这还将向您显示greenlets堆栈跟踪。 注意:为了找到所有绿色对象,pytb查找所有
图片堆栈_matlab处理视频_视频_图片堆栈软件_图片堆栈_
09-28
在MATLAB中,你可以通过读取多张图片并将它们存储到一个矩阵中来创建图片堆栈。例如,使用`imread`函数读取一系列图片,并用`cat`或`cell2mat`函数将它们组合成一个三维数组。这种数组的每一层代表一张图片,可以...
Chapter4-Src_堆栈_
10-04
链式存储的堆栈通过链表实现,每个节点包含元素值和指向下一个节点的指针。数组存储的堆栈则直接使用数组的一端作为栈顶,通过调整索引来实现压栈和弹栈操作,效率较高但空间预分配固定。 在描述中提到的“线性表”...
dongzuoji.zip_labview做堆栈_labview有堆栈
09-14
标题“dongzuoji.zip_labview做堆栈_labview有堆栈吗”暗示了这个压缩包包含的是关于如何在LabVIEW中实现堆栈功能的源代码。堆栈是一种特殊的线性数据结构,遵循“后进先出”(LIFO,Last In First Out)的原则,...
calculatrice - final_表达式计算器_堆栈_计算器_二叉树_后序_源码
10-04
本项目“calculatrice - final_表达式计算器_堆栈_计算器_二叉树_后序_源码”提供了一种使用C语言实现的高效解决方案,它巧妙地结合了堆栈数据结构、二叉树以及后序遍历的理论,实现了对后缀表达式的计算功能,并...
查看堆栈的工具 jca.rar
05-21
"查看堆栈的工具 jca.rar" 提供了一种方法来深入洞察应用程序的内部运作,特别是通过堆栈跟踪来诊断和解决问题。堆栈跟踪是记录程序执行过程中各线程活动的一种方式,它可以帮助开发者了解代码的执行流程,定位程序...
safengine keygen
01-17
机器码算号测试用,来源网络,试用完毕请24小时内删除。
【数据结构】查找算法和堆栈的应用
weixin_62697030的博客
11-20 459
(1)查找算法分别是顺序查找 mid查找(折半,插入,斐波那契)前者的操作复杂度都是n,后面三个的操作复杂度是log2n(2)关于后面三种东西的具体实现(折半的函数为)(插差值寻找的函数是)‘利用了一个概率分布的性质进行寻找的(斐波那契的查找函数)斐波那契数的一个性质就是,n越大,(n-1)/n更接近黄金比例0.618.。。。。’说白了斐波那契还是。。。。。
python优雅的记录日志(堆栈追踪)
果汁华的博客
11-10 8055
    工作3年,解决线上问题无数。日志对于定位和分析问题的重要行不言而喻。那么python怎么优雅的记录日志呢?       首先,python记录日志,首选是logging模块,没有啥争议。     日志的一般写法是这样的: logging.info('info message') logging.error('error message')    这种日志一般作用不大,只能定位到...
JVM学习----查看堆栈信息
热门推荐
eos2009的博客
11-13 2万+
JPS 查看当前运行java进程JVM Process Status Tool,显示指定系统内所有的HotSpot虚拟机进程。jps -lvm 用于查看当前机器上运行的java进程。 命令格式 jps [options] [hostid] 注:如果不指定hostid就默认为当前主机或服务器。 命令行参数选项说明如下: -q 不输出类名、Jar名和传入main方
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6152
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
Safengine Shielden v2.3.7.0 驱动脱壳
pureman_mega的博客
10-28 5822
前言: 之前找工作的时候,注意到有个公司找windows驱动开发/逆向工程师,所以他们公司产品里面应该包含有驱动程序(呐,必须的学习一波)。首先,安装他们公司的相关产品,然后找到里面的驱动文件;一看驱动文件几百k,应该是加壳了(Safengine Shielden v2.3.7.0)。如下图: 脱壳过程: 文件丢进ida里面发现没法看,脱壳当然是不会脱壳的。嗯,先把驱动跑起来吧。创建服务,启动服务;驱动成功跑起来了。驱动程序运行之后,对应的会有一些数据产生:1,通过winObj类似工具...
PyCharm使用总结
sky101010ws的专栏
03-23 7230
一、PyCharm调试python程序总结 1、设置断点:在代码前面,鼠标单击,设置断点。右键断点可以有很多断点的设置,自己研究。 2、调试断点:Ctrl+F5或点击绿色的甲虫图标,同Eclipse,点击后即运行到第一个断点; 3、F8或Step Over:继续向下运行到下一个断点; 4、Shift+F8或者Step Out:跳出当前函数的执行; 5、F7或Step Into:进入当前的
gdb 如何查看堆栈信息和寄存器信息?
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-07 3089
gdb 如何查看堆栈信息和寄存器信息?
Linux 查看堆栈
weixin_34205076的博客
03-02 2835
2019独角兽企业重金招聘Python工程师标准>>> ...
打印异常堆栈_通过异常堆栈丢失谈即时编译优化
05-24
在 Java 中,当程序运行时发生异常,JVM 会自动打印出异常堆栈信息。异常堆栈信息包括异常类型、异常发生的位置、调用栈信息等,可以帮助我们快速定位问题并进行调试。 下面是一个简单的 Java 程序,其中会抛出一个 NullPointerException 异常: ```java public class ExceptionDemo { public static void main(String[] args) { String str = null; System.out.println(str.length()); } } ``` 当我们运行这个程序时,会得到如下的异常堆栈信息: ``` Exception in thread "main" java.lang.NullPointerException at ExceptionDemo.main(ExceptionDemo.java:4) ``` 可以看到,这里抛出了一个 NullPointerException 异常,并且异常发生在程序的第 4 行。通过这个异常堆栈信息,我们就可以快速定位问题所在。 关于即时编译优化和异常堆栈丢失的问题,它们之间的关系可以简单描述为:即时编译优化可能会导致异常堆栈信息丢失。这是因为,为了提高程序的执行效率,JVM 可能会对代码进行一些优化,包括方法内联、循环展开、消除冗余操作等。这些优化可能会使得程序的执行过程变得复杂,从而导致异常堆栈信息丢失。 为了解决这个问题,我们可以通过关闭即时编译优化来保留完整的异常堆栈信息。在 Java 中,可以通过设置系统属性 `-XX:-OmitStackTraceInFastThrow` 来关闭即时编译优化。这样,即使程序发生异常,也能够保留完整的异常堆栈信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值