恶意代码分析实战—第18章加壳与脱壳

最新推荐文章于 2024-05-13 17:38:21 发布
最新推荐文章于 2024-05-13 17:38:21 发布
阅读量639 收藏 4
点赞数
分类专栏: 恶意代码分析 逆向分析 文章标签: 反汇编 c语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487541/article/details/123498093
版权

脱壳存根

被加壳程序中的脱壳存根由操作系统加载,然后脱壳存根负载加载原始程序。对于加壳程序来说,可执行程序的入口点指向脱壳存根,而不是原始代码。原始程序通常存储在加壳程序的一个或多个附加节中。

脱壳存根执行了以下三步操作:

1. 将原始程序脱壳到内存中;

2. 解析原始可执行文件的所有导入函数;

3. 将可执行程序转移到原始的程序入口点(OEP)。

尾部跳转

一旦脱壳存根完成脱壳,他就必须转到OEP运行。转到OEP的指令通常被叫做尾部跳转指令(jmp、ret、call)。

书中对于脱壳过程图示如下:

 

Lab18-01.exe

首先利用peid进行查壳

可以看出这是一个被UPX加壳的文件。UPX是一个压缩壳,并不是一个加密壳。

在OD中打开Lab18-01.exe分析: 

可以看出这并不是OEP,而是脱壳存根。为了进行脱壳,我们需要找到尾部跳转从而得到OEP。00409DC0处的指令为pushad,在脱壳存根中为了保持栈平衡,也一定会一个popad的命令。

在OD中查找popad命令,在00409F43处看到jmp指令。

在IDA中定位到00409F43分析:

结果UPX压缩后,IDA不能识别处 00409F43处的有效地址,所以猜测该处的jmp就是尾部跳转指令。

OD中在00409F43处下断点并步过分析:

所以该处既是原始程序的OEP,右键OEP后使用OllyDump插件脱壳:

“重建输入表”取消勾选后点击脱壳。 然后使用ImportREC获取导入表

点击修复转存文件

至此已完成脱壳。

Sin hx
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第十八 恶意代码分析实战
Yes_butter的博客
04-09 633
第十八 加壳脱壳 加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。 1.剖析加壳 恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。 要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳 器的工作原理。 所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可 执行文件经过压缩,加密或者其...
恶意代码分析实战18-1
Yale的博客
05-29 191
本次我们将会分析lab18-1,lab18-2文件。 将lab18-01载入peview 无法查看导入表等信息 将实验文件载入peid 显示什么都没找到 我们选择核心扫描 结果扫出来是upx 而查看节的时候 可以看到有一个名为upx2的节 接下来我们载入od,来手动脱壳 来到尾部跳转的位置 409f43处的jmp跳转指令后跟着一系列的0x00字节,跳转的目的地是一个比较远的位置 我们在这里下断点,然后执行过来。 单步之后来到了0040154f 此处就是程序的入口点 右键,如下操作 在弹出的
网络安全技术】——恶意代码与防范(学习笔记)_网络层恶意代码防护
最新发布
2401_84968940的博客
05-13 1138
计算机病毒(virus)的传统定义是指人为编制或在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。现在计算机病毒的定义已远远超出了以上的定义,其中破坏的对象不仅仅是计算机,同时还包括交换机、路由器等网络设备;影响的不仅仅是计算机的使用,同时还包括网络的运行性能。就像许多生物病毒具有传染性一样,绝大多数计算机病毒具有独特的复制能力和感染良性程序的特性。
恶意代码分析实战Lab18
ACdream
08-06 532
论工具的重要性:百度一下找个万能脱壳机:linxerUnpacker 可以准确识别4个且成功脱壳 Lab18-02.exe : [FSG v1.00 (Eng) -> dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -> Dwi...
恶意代码分析实战 Lab18
baidu_41108490的博客
06-07 800
lab18-01第一个是upx加密这里我们手动脱壳,upx壳挺简单的,只要找到oep就行注意到ollydbg进去的pushad,一般在popad后就会跳转到正确oep,所以在pushad后esp的地址设个硬件访问断点,按f9就能快速到达popad最后的跳转jmp后地址就是正确oep了直接用ollydbg脱壳直接就脱壳成功了至于判断是之前的那个恶意代码也不难IDA打开看看就能大概记起来他是lab14...
恶意代码加壳
weixin_30599769的博客
10-29 662
混淆程序是恶意代码编写者用于隐藏其执行过程的代码。加壳程序是混淆程序中的一类,加壳之后的程序会被压缩,使得含义分析。 判断程序是否加壳的一个模糊的判别规则是,正常程序中的字符串往往会很多,而被加壳或混淆后的程序能够获取到的,能直接打印出的字符串却很少。 注意 加壳和混淆代码通常至少会带有LoadLibrary和GetProcAddress函数,主要是用于加载和使用其他函数的功能。 在加壳程序运行前...
恶意代码分析实战 第十八课后实验
Stronger_99的博客
05-04 476
Lab18-01.exe 首先使用peid进行查壳: 这是一个UPX壳。 下面进行脱壳操作: 将实验文件载入OD: 可以看到一开始进来就来到了这个位置,这个很明显不是OEP,那么就来找一下,最常用的方法就是查找尾部跳转指令。通常情况下,它会是在一段无效字节前的jmp指令: 可以看到409F43就是这个尾部跳转指令,先下断点然后执行,取消断点在步过。 然后就来到了这...
跟我学汉化-加壳脱壳
08-10
绍跟我学汉化-加壳脱壳
UPX加壳脱壳
02-26
UPX的“加壳”过程就是将原始程序包裹在UPX壳里面,而“脱壳”则是去除这个外壳,恢复原始程序的原始状态。 UPX加壳技术主要基于两种方式:压缩和映像注入。压缩方式是将原始程序的数据压缩,然后在运行时解压到...
恶意代码分析之API hash反静态分析.pdf
11-15
恶意代码分析中, Windows 平台的 API 函数是非常重要的信息来源, 比如通过分析恶意代码中使用的 API 函数, 我们不需要对已加壳的文件进行逆向分析,因为我们只需要对恶意代码所执行的 API 调用来进行动态分析,...
UPX加壳/脱壳程序
07-04
在某些情况下,例如为了分析程序的行为或修复损坏的文件,可能需要对加壳程序进行脱壳。UPX提供了一个内置的脱壳功能,可以通过GUI界面轻松实现。 在提供的压缩包文件列表中,我们可以看到以下几个关键文件: 1. ...
加壳脱壳工具
10-24
吾爱软件加壳脱壳工具箱是一款专业的软件加壳脱壳工具软件,您可通过吾爱软件加壳脱壳工具箱为软件加壳脱壳,功能强大,使用简单,并且此款软件完全免费使用,喜欢的朋友不要错过,欢迎下载使用!
5.3 恶意代码加壳
robacco的博客
09-23 298
压缩加壳实验: 1、查看upx的帮助文档。使用upx给pwdump7.exe文件加壳,可以看到upx将77842byte的pwdump7.exe文件压缩成了36864byte的test.exe,生成的test.exe为压缩前的47.37%, 2、加壳前后对比。使用PEiD查壳软件,在PWdump7.exe未被加壳时,PEiD检测到其使用Microsoft Visual C++ 6.0编...
恶意代码分析实战 15 加壳脱壳
农夫果园好好喝的博客
01-25 495
分析样本Lab18-01.exeLab18-05.exe
04-加壳脱壳
TSLee的博客
12-15 1325
何为加壳? 如前面所介绍的,拿到一个App的ipa包可以通过class-dump、 Hopper Disassembler等工具进行分析,然而当我们利用这些分析手机里从App Store下载的App安装包时,会发现都是一些经过加密的文件,无法进行分析 这是因为App Store对我们上传的App进行了加壳操作,那么何为加壳呢?其实是利用特殊的算法,对可执行文件的编码进行改变(比如压缩、加密),以达到保护程序代码的目的 加壳前,App可执行文件中的代码会被装载到内存中 加壳后,App可执行文件进行加密,其
IDA动态带壳调试分析
qq_34108752的博客
09-17 623
一: adb install xxxx adb push d:\as /data/local/tmp/as //如果已经push过as到手机上 就免掉这步 adb shell su //如果已经给过权限 就免掉这步 chmod 777 /data/local/tmp/as //如果...
分析加壳--加壳程序如何工作及如何识别
dfwjtabcd的博客
01-27 1604
分析加壳--加壳程序如何工作及如何识别 前文   加壳可执行程序文件的两个主要的目的是缩小程序的大小,保护对加壳程序的探测与分析。虽然加壳器的种类众多,但是它们遵循相似的模式:将一个可执行文件转换创建一个新的可执行文件,被转换的可执行文件将在这个新的可执行文件中作为数据存储,另外新的可执行文件还包括一个供操作系统调用的脱壳存根(stub)。下面首先以加壳程序如何工作及如何识别开始。 一、分析加壳 ...
书评第004篇:《恶意代码分析实战
Gleam的专栏
12-11 3382
随便在哪家网上书城进行搜索可以知道,在计算机安全类,特别是恶意代码分析领域的书籍可谓是凤毛麟角。如果哪位读者对于恶意代码分析有浓厚的兴趣,要么是去一些大型的安全类论坛看他人的分析报告,要么是在众多的安全类书籍中,东找一点西凑一点地进行学习。这也就说明了市面上确实少有专门针对于恶意代码分析的,以实战为主的书籍。而对于我这样的初学者而言,由于我希望成为一名反病毒工程师,因此我特别想能够阅读到在安全领域有着丰富经验的大牛的作品。而现实中的大牛往往很忙,大部分也不愿意将自己的经验记录下来。于是这就出现了学习的瓶颈,
恶意代码分析实战》第7 分析恶意Windows程序(课后实验Lab 7)
qq_43443410的博客
08-19 1504
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7 分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2:分析在文件.
Android UPX加壳源码解析.pdf
04-22
"Android UPX加壳源码解析.pdf" 这篇文档主要讲解了在Android平台上如何使用UPX工具对.so动态链接库进行加壳处理,以及相关的技术细节和遇到的问题。UPX是一种流行且开源的文件打包器,常用于Windows、Linux和Mac ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值