逆向脱壳——脱壳后的修复

最新推荐文章于 2022-10-22 20:58:05 发布
最新推荐文章于 2022-10-22 20:58:05 发布
阅读量1.4k 收藏 3
点赞数
原文链接:http://www.cnblogs.com/5315hejialei/p/7060315.html
版权

脱壳后的修复

IAT修复

IAT

导入地址表(IAT):Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成.

为什么要手动修复IAT?

我们已经掌握了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,这时候,我们可以尝试手动修复IAT。

原理

程序的IAT是连续的排列的,所以我们只需要找到IAT的起始位置和末位置,就可以确定IAT的地址和大小。在压缩壳中,我们只要找一个调用系统的API的Call的地址,然后在数据窗口中查找,确定IAT起始和结束地址。然后在OD中手动修复。

思路

  • 1.查壳
  • 2.找到程序入口
  • 3.OD插件脱壳-->失败
  • 4.LoadPE脱壳-->失败
  • 5.用ImportREC自动修复-->失败
  • 6.手动查找IAT,用ImportREC进行修复-->成功

实验过程

  • 查壳,显示FSG壳
    886825-20170621163033538-1611031416.png

  • 我们用ESP定律法脱壳,关键跳转后,没有到OPE,右键分析,从模块中删除分析。
    886825-20170621163049538-737669180.png

  • 到达OPE
    886825-20170621163057741-2067128269.png

  • 用OD的脱壳插件脱壳,这个插件是可以自动修复ITA的,如图勾择重建输入表。
    886825-20170621163121882-265266584.png

  • 用OD自带的插件脱壳以后,查壳显示无壳,但不能运行。
    886825-20170621163229116-644524941.png

  • 换一种方法脱壳试试~用LoadPE脱壳

  • 修正镜像大小
    886825-20170621163304398-24808612.png

  • 还是不能运行

  • 用ImportREC进行输入表重建,尝试修复程序,输入刚刚调试时找到的OPE地址,点击自动查找IAT
    886825-20170621163329882-532873085.png

  • 点击获取输入表,工具自动帮你填充RVA,这里的RVA是IAT起始的偏移量。RAV是偏移地址的意思,如果说Windows装载器将一个PE文件装入 00400000h处的内存中,而某个节中的某个数据被装入0040xxxxh处,那么这个数据的RVA就是(0040xxxxh- 00400000h)=xxxxh。
    886825-20170621163340179-2123608372.png

- 转储到文件,尝试运行,壳已经没有了,但是还是不行,不能运行……
886825-20170621163407835-2030865588.png

886825-20170621163417695-244445847.png

- 那我们只有试一下手动修复了

  • 随便找一个调用系统的API的Call,如果这个函数的调用地址在IAT中,那么我们根据这个地址就能找到IAT的地址范围。
    886825-20170621163430335-90335548.png

- 在输入表(IAT)中找到该地址
886825-20170621163559288-918244619.png

  • 记录地址0x425210,在命令下输入 d 425210

  • 到达数据窗口的这一段,这是IAT地址,名称与输入表重建工具中的函数对比,内容一致,可以确定这个CALL的调用函数地址在IAT中。
    886825-20170621163630241-1964155120.png

  • 因为IAT段是连续的,因此向上找到开头,向下找到结尾

  • IAT段开始:
    886825-20170621163636726-1043421571.png

  • IAT段结束
    886825-20170621163644445-1127674830.png

- 获取IAT信息
起始:00425000
结束:00425510
RAV:0x00425000-0x00400000=0x25000
Size:0x0042410-0x00425000=0x510

- 进行修复,输入IAT信息,RVA和SIZE,获取输入表。
886825-20170621163700882-178097018.png

- 转存,运行成功~脱壳完成~
886825-20170621163710335-1099168985.png

转载于:https://www.cnblogs.com/5315hejialei/p/7060315.html

weixin_30762087
关注
逆向脱壳修复IAT并关闭ASLR
Tigger.run 独立开发者 热爱逆向工程
04-12 1069
0x1 寻找OEP OEP八大法…这里不具体展开… 0x2 修复IAT 脱壳后如遇到程序无法正常运行(XP环境),可能是因为导入表破坏,需要手动修复。 将暂停在OEP的进程加载到ImportREC中,通过OD查看IAT(导入表)地址与大小。 通过PC文件格式的学习,可以知道导入表的RVA在可选头的DataDirectory数组中存放,但由于程序加壳, 图为加壳程序IAT的偏移 18008,大小6...
逆向——脱壳
wk19951125的博客
05-06 828
逆向——脱壳有壳和无壳的区别壳的类型区别脱壳的关键寻找OEP寻找大跳转SFX功能定位OEP内存执行定位OEPESP定律VB程序快速定位OEP最后一次异常法定位OEP利用壳常用函数来定位OEP参考文献 #脱壳 有壳和无壳的区别 壳的类型 压缩壳 加密壳 虚拟机壳 区别 入口点改变 区段信息改变 代码段程序隐藏 加壳程序修改后无法保存 运行后,恢复的程序会将修改的内容覆盖 脱壳的关键 寻找OE...
手工实现各种脱壳后的修复
CSDN
09-25 8201
PE(Portable Executable)导入表是Windows操作系统中可执行文件(如DLL和EXE)的一部分,用于记录该文件所依赖的外部模块和函数。导入表是PE文件结构中的一部分,负责描述程序在运行时需要引用的外部符号,以便操作系统在加载程序时能够解析这些符号并正确地链接到相应的函数或模块。
脱壳修复资源DT_FixRes
04-17
很多被加壳的 PE 文件在脱壳以后,往往该 PE 文件的资源部分无法用某些资源工具进行查 看、编辑,同时也不利于脱壳文件的优化工作。这其中的主要原因是由于很多加壳程序将部分资源 (如 Icon、Version Information) 从资源节 (resource section) 移到了壳增加的节里,这导致 很多资源工具不能正确识别分布在两个节里的资源数据。DT_FixRes 作为 PE 文件资源修复、重建 引擎,为此提供了完美解决方案。它可以将分布在多个节里的资源重新移到一个资源节里,并且对 资源进行了完全优化,修复后的资源不含有任何垃圾数据,如同资源编译器的编译效果,可以媲美 未加壳前的原始资源。这样资源工具也就能够顺利地对修复后的 PE 资源进行查看、编辑,另外也 大大简化了对脱壳文件的手工优化工作。
脱壳后的IAT修复
谢绝(无视)留言与私信
02-01 4775
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
脱壳操作
吖吖狼 的专栏
03-26 2453
常规操作: 1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在push ebp代码处)。 2、生成转存文件:打开LordPE,选中程序的进程,右键“修正镜像大小”,然后右键“完整转存”,输入文件名,保存。此步也可用OD自带的插件进行,在代码区右键“用OllyDump脱壳调试进程”,此外如果勾选了“重建输入表”,后面就不需要再用ImportREC修正输入表了,如果不勾选,则需要进入第3步
Re-脱壳技术 脱壳实战(3): 脱壳修复IAT
逆向随笔
12-27 1823
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
逆向基础——软件手动脱壳技术入门
qq_47099828的博客
04-22 968
01一些概念 1.1 加壳 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序...
安卓逆向之基于Xposed-ZjDroid脱壳 逆向分析(脱壳)
sinat_28371057的博客
01-19 1501
安卓逆向——某力播逆向分析(脱壳) 一、环境 这一步真的头疼,环境很重要,各种测试,一下是我测试的环境,由于没有真机,就拿虚拟机做测试 1. Xposed 2.FDex2 3. fiddler 4.软件 二、抓包 通过 fiddler 抓包分析参数 可以看到,俩次请求的参数, udid 是一样,可以不用变,timestamp 应该是个时间戳,signature 可以经过某种变化的,也是主要分析的 三、脱壳 1、查看加固 首先对...
PE脱壳软件修复LordPE_fix.EXE
01-24
程序名称:LordPE Deluxe 增强版 版 本:1.4 汉 化 人:cao_cong 联系方式:cao_cong_hx@yahoo.com.cn 使用说明: 这个工具大家应该也比较熟悉吧?这是另一款PE编辑工具,号称是“最好的PE文件修改工具”。这个增强版本是我在看雪学院上看到的,原来是看雪兄的大作。正好我以前汉化过这个软件(自己用的,没发布过),顺便套用一下以前的资源,把它给汉化了(里面所附带的工具基本上都汉化了)。可能有许多兄弟都比较喜欢用这个软件,这次发出来希望能给大家带来一点方便。这个增强版的主要更新(根据看雪兄的readme文件): (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题? 其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。 声明: 1、此汉化软件是免费软件,请在转载时保留其内容的完整性! 2、此软件仅用于个人学习使用,禁止用于商业用途,否则后果自负! (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 文件列表: LordPE.EXE .............原版 LordPE_fix.EXE .............增强版 LordPlug.dll .............功能插件 LordPlug.dll_src .............功能插件源码
VMP脱壳教程 BY Nooby
08-05
VMP手动脱壳教程,由Nooby大牛制作
Zprotect脱壳机.rar
05-22
《Zprotect脱壳机——深度解析与应用》 在IT安全领域,逆向工程和恶意软件分析是一项重要的技能,而“Zprotect脱壳机”正是这样一款专为对抗复杂恶意软件壳技术而设计的工具。本文将深入探讨该工具的功能、应用场景...
腾讯加固腾讯云加固脱壳脱壳
11-23
- **解决方法**:为了修复这个问题,可以将非法的resID替换为一个有效的resID,例如将0x01017FFF改为0x01010003(即`name`属性的resID)。这样可以确保ApkTool能够正确地解析`AndroidManifest.xml`。此外,也可以...
.net脱壳神器---de4dot
09-25
.NET脱壳神器——de4dot,是一款专门针对.NET程序的反混淆工具,由著名安全研究者Jitender Singh创建。它的主要功能是去除.NET程序中的混淆代码,还原原本清晰的IL(中间语言)代码,使得代码更易于理解和分析。本文...
逆向脱壳
weixin_30527423的博客
06-06 171
基本脱壳修复 基础知识 加壳程序 1、壳是什么? 加壳是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码,要经过脱壳才可以查看源代码。 2、加壳的原理是什么?壳是怎么运作的? 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序...
脱壳修复脱壳修复IAT
最新发布
这个人很懒什么都没有留下
10-22 119
如果脱壳后没有秀发IAT那也只能在你的电脑上运行,无法在别人电脑上运行,因为IAT是为了提升软件的兼容性,软件启动后每次运行都会获取当前电脑的API函数地址,脱壳后就会损坏IAT也就无法获取机器的API函数地址。可以通过od 右键 查看所有模块调用 来查询目前程序所调用的API函数地址。
逆向:初识脱壳
yan_star的博客
11-24 1800
逆向:初识脱壳
iOS逆向脱壳
liuyinghui523的专栏
11-14 691
什么是加壳? iOS的ipa在上传到App Store的时候,对可执行文件进行了加壳操作。利用特殊的算法,对可执行文件的编码进行改变(比如压缩、加密),以达到保护程序代码的目的。 什么是脱壳? 摘掉壳程序,将未加密的可执行文件还原出来(有些人也称为“砸壳”) 脱壳主要有2种方法:硬脱壳、动态脱壳脱壳就是直接执行解密算法,把壳程序中的可执行文件进行解密,得到可执...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值