Unpack packed executable file

最新推荐文章于 2023-10-31 09:14:11 发布
最新推荐文章于 2023-10-31 09:14:11 发布
阅读量673 收藏 1
点赞数 1
分类专栏: CyberScurity 文章标签: 网络安全
本博客原创文章未经允许不可用于商业盈利(包括以引流盈利的网站),纯非盈利性网站可在未经博主允许的情况下转载、使用非收费类博客,但请标明来源出处。
本文链接:https://blog.csdn.net/weixin_43529394/article/details/113487876
版权

Content

1. Create an executable file

(1) Create a C Program

Create a new folder called “test” in C:/, and create a text document called “1.cpp” in the folder.
Like this:
新建文件
Right click the file and edit it with Notepad++. Input the codes as follows.
在这里插入图片描述

#include<stdio.h>
int main (){
	printf("Hello World!\n");
	return 0;
}

Save the file.

(2) Compile the C program

Open the Developer’s command prompt of Visual Studio 2017 in the start menu.
在这里插入图片描述
Switch to the file location C:\test using “cd C:\test”
在这里插入图片描述
Then compile 1.cpp using “cl 1.cpp”
在这里插入图片描述

We can run it using command “1.exe”
在这里插入图片描述
Success.

2.Pack the program

(1) Download UPX

UPX is a free, portable, extendable, high-performance executable packer for several executable formats.

We will use UPX to pack the executable file created above
Download upx from https://github.com/upx/upx/releases/download/v3.96/upx-3.96-win32.zip
Extract the zip file

(2) Pack 1.exe

  1. Go to the root directory of upx in Explorer, input “cmd” in path and press Enter to enter cmd in the path of upx.
    在这里插入图片描述
    In that way, we don’t need to input the path of upx manually.
    在这里插入图片描述
  2. Use command “upx.exe C:\test\1.exe -o C:\test\1_packed.exe” to pack it.
    在这里插入图片描述
  3. 1_packed.exe is a packed file with the same function of 1.exe but the internal structure is different from the later. We can open it with IDA. The procedure and imports are as follows.
    structure overview of 1_packed.exe
    Imports of 1_packed.exe
    However, the procedure and imports of 1.exe are as follows.
    在这里插入图片描述
    在这里插入图片描述

3. Unpack the program

(1) Find Original Entry Point with x32dbg

  1. Open x32dbg
  2. Drug 1_packed.exe into x32dbg
  3. Press F9 to run.
  4. Find the last jmp command
    The last jmp command is the selected command in the picture.
    在这里插入图片描述
  5. Press F2 to set breakpoint for that command. Then Press F9 to run it.
    在这里插入图片描述
  6. Press F8, then we see the program which looks like C program. It begins with a “call” and a “jmp” command. In C programs the “call” command is always the entry point of the program.
    在这里插入图片描述

(3) Use PE Tools to save dump file

  1. Keep the state of x32dbg. Open PETools and find the process by its PID.
    在这里插入图片描述
  2. Right click on it and select “Dump full” to save the file.
    在这里插入图片描述
  3. We can find Dumped.exe cannot be run. Open it with IDA. Remeber to Press “yes” here.
    (Click here and look at the first part of the article to know how to open a executable file with IDA)
    在这里插入图片描述
  4. We will find the Imports of it is empty. And there is no “strat” in function name table.
    在这里插入图片描述
    在这里插入图片描述

(4) Restore entry point

  1. Open PETools. Tools -> PE Editor. Open Dumped.exe
    在这里插入图片描述
  2. Click “Optional Header”.
    在这里插入图片描述
  3. The address of entry point is “010812E1” .
    在这里插入图片描述
  4. The address of entry point is image base plus entry point. “01080000” is image base. So the entry point is 010812E1-01080000=12E1. Change the entry point inOptional Header to 12E1.
    在这里插入图片描述
  5. Press Ok and press Ok.
  6. Open Dumped.exe in IDA. Then we can see “start” in function name table. That means the entry point has been changed successfully.
    在这里插入图片描述

(5) Get the Imports of the program

  1. Close IDA. Run Scylla in x32dbg.
    在这里插入图片描述
  2. “EIP” must point to the actual entry point of the program.
    在这里插入图片描述
  3. Then press “IAT Autosearch” to automatically get the address of Import Address Table. Import Addre Table is the list of addresses of extral functions for this file.
    在这里插入图片描述
  4. Copy VA. Click to dump press Ctrl+G and input VA. Press OK.
    在这里插入图片描述
  5. Right click to show address.
    在这里插入图片描述
  6. We can see that the fisrt line is empty. So the address of “VA” needs to change to 1094000.
    在这里插入图片描述
  7. Scroll down, then we can see the address of import table ends at 1094104.
    在这里插入图片描述
  8. So the size of import address table need to change to 104+4=108.
    在这里插入图片描述
  9. Then press “Get Imports”. Then the functions will be imported.
    在这里插入图片描述
  10. Click “Fix Dump” and select Dump.exe. Then we got Dump_SCY.exe
    在这里插入图片描述
  11. Open Dump-SCY.exe with IDA and we can see the imports.

在这里插入图片描述
12. Run it in cmd. We can see it cannot run properly.
在这里插入图片描述

(6) Prevent address randomization

  1. Make x32dbg the default debugger of the system. Run x32dbg as administrator. Options -> Preferences -> Misc -> “Set x32dbg as Just in Time debugger.” -> Save.
    在这里插入图片描述

  2. Run Dumped_SCY.exe again, and select Debug the program.
    在这里插入图片描述

  3. Press F8 until we see the exception.
    在这里插入图片描述

  4. Press in dump, press Ctrl+G, and input 109B018. We can see that is an invalid address.
    在这里插入图片描述

  5. Because when a process starts its base address will be chosen randomly by the operation system. We need to prevent address randomization.

  6. Open PETools -> Tools -> PE Editor. Open Dumped_SCY.exe. Go to File Header.
    在这里插入图片描述

  7. Go to characteristics.
    在这里插入图片描述

  8. Enable Reloaction stripped.
    在这里插入图片描述

  9. Press OK and OK and OK. Run it again. Success!
    在这里插入图片描述

Finish unpacking!

叼辣条闯天涯
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
NetUnpack dotnet脱壳工具
10-26
NetUnpack dotnet脱壳工具
NETUnpack(.NET脱壳软件)
06-22
.NET专用的脱壳软件。。。。。。。。非常好用
.NET C# 反编译 反混淆 处理流程
热门推荐
夜班机器人的博客
07-26 1万+
ScanId_1_5.zip 先扫一遍壳 或者混淆软件名 使用de4dot.zip 进行脱壳、反混淆 最后使用ILSPY或者Reflector反编译查看源代码。 以上工具在 https://down.52pojie.cn/Tools/NET/ 都有下载 名字 大小 更新时间 CLRInjection.zip 7M 2015-Nov-23 03:30 ...
.net 常用破解工具集合整理大全/开发必备
最新发布
程序人生的博客
10-31 2170
JustDecompile与Reflector相比的话,个人更喜欢JustDecompile,因为他免费,而且对于一些C#动态类型的反编译效果比较好,对于某个第三方程序集,如果它缺乏文档,或者是一个bug 或性能问题的根源,反编译往往是最快捷的解决方案。是一个非常专业的.Net程序解密分析必备工具,由于国内知道它的不多,因此唯有英文版本,没有进行汉化,Simple Assembly Explorer可以为您探索与分析.NET程序集。此外,开发者可以借助最新发布的API与支持文档开发自己的插件。
pack_unpack_file
02-21
"pack_unpack_file"可能是一个项目或者库,专门用于处理这类任务。在C++中,虽然没有内置的压缩和解压库,但我们可以通过第三方库如Zlib、Libarchive或Boost.IOStreams来实现这些功能。 **1. Zlib库** Zlib是一个...
File::Unpack-开源
05-03
该SVN的版本为0.50,更高的版本位于https://github.com/jnweiger/perl-File-Unpack
Lua UnPack函数用法实例
09-22
主要介绍了Lua UnPack函数用法实例,unpack它接受一个数组(table)作为参数,并默认从下标1开始返回数组的所有元素,需要的朋友可以参考下
mp-unpack mp-unpack
09-14
"mp-unpack mp-unpack" 这个标题和描述似乎在重复同一个关键词,可能是由于某种原因导致信息不完整。不过,我们可以根据“mp-unpack”这个标签来推测这是关于一个用于解压或处理MP格式文件的工具或者命令。在IT领域...
Unpack.rar
06-30
unpack-0.1是GNS3模拟cisco ASA经常使用到的工具,网络上确实不好找,目前csdn里的太贵了,这个所需积分不多供大家选取。
UPX Unpacker.exe
08-05
UPX Unpacker.exe
unUPX 1.x - 3.x_unpacker_
09-30
Unpacker for UPX created in delphi.
[.Net 脱壳] .NET Generic Unpacker 1.0.0.1
02-07
☆ 资料说明: ☆ This is a program to dump .NET packed applications. Of course no serious .NET protection relies on packing. In fact, this software shows how easily you can unpack a protected assemly. This .NET Generic Unpacker was written in a couple of hours and despite of the fact that it's very simple, it might turn useful having it: otherwise you have to unpack manually, which is quite easy as well.
.net去壳工具NETUnpack
07-21
.net的exe去壳去混淆,简单好用,可能有些也去不了,但也是可以试下的
永大解密软件修改版本V2.0_packed.exe
08-17
永大解密软件修改版本V2.0_packed.exe
一个.net程序破解示例
scartf的专栏
03-15 1456
<br /><br />受朋友之托 帮忙破解个软件 流程如下<br />1.查壳 脱壳<br /> 未查到壳  用NETUnpack(.net通用脱壳机) 脱壳 发现程序已经被混淆 反混淆<br />2.反混淆反混淆后 发现Reflector提示有一部分代码不能翻译成高级语言反混淆工具:Simple Assembly Explorer 3.找破解入口点  包含 “注册”字符串 的地方 应该就是关键地点  分析上面的算法 得出 关键函数在上上面那张被提示不能完全反编译的函数中 m00003f(string
.Net平台相关破解修改工具
lemisky的博客
06-21 492
多的就不说了,网上都有。就介绍俩—— 最牛逼的 dnSpy 另一个就是对我起到作用的——.Net脱壳工具 NETUnpack 当年弄 uMark,Apowersoft 的时候,很管用 附带一些其他的吧 JetBrains dotPeek De4Dot-GUI ILSpy DotNet Id .NET Reflector JustDecompile e4dot ScanId Simple Assembly Explorer lasm & ildasm 这些看看就行,好久没弄了,可能不全。
攻防世界 simple-unpack(脱壳)wp
__ys的博客
11-14 430
第一次接触被加壳的二进制文件 查壳 准备工具:exeinfo pe, IDA, upx 首先用exeinfo pe查壳 发现有upx壳 注:windows下的文件是PE文件,Linux/Unix下的文件是ELF文件 查壳 在upx-3.96-win64路径下用upx -d进行脱壳 3丢到IDA中 搜索字符串flag可以轻易得出 结束自己的第一道被加壳的二进制文件题目 ...
upx 3.96版本编译
h394600493的专栏
08-22 815
7,将src中编译好的文件upx.out拷贝出来即可使用。1,下载upx-3.96版本。2,下载lzma-sdk。6,解压lzma-sdk。
unpack file d:\wechat...
05-15
“unpack file d:\wechat…”意思是解压缩d盘上的wechat文件。解压缩是将压缩文件中的文件或数据恢复到原本的状态的过程。通常,压缩文件是通过压缩软件程序生成,并且是用于存储大型文件或多个文件的一种方式。当...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叼辣条闯天涯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值