记录第一次脱壳

最新推荐文章于 2024-08-08 21:41:18 发布
最新推荐文章于 2024-08-08 21:41:18 发布
阅读量934 收藏
点赞数
分类专栏: 反汇编 虚拟机壳 文章标签: 问题解决 python elf文件 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43570235/article/details/121627982
版权
本文记录了一次使用IDA反汇编器和Python处理ELF格式VMP文件的过程,旨在脱掉虚拟机壳并找出30位ASCII密码。通过分析文件结构、理解汇编指令,发现代码进行了两次加密。在Python中处理二进制数据时遇到困难,最终成功实现了动态跟踪和解密密码。
摘要由CSDN通过智能技术生成

第一次脱壳,vmp+xor

前几天的“恶意软件分析”课程作业,附加题是个elf格式的VMP文件,说是装了虚拟机壳,写个反汇编器就可以解出来。目标是输对密码,让它报告congratulations。但是放进我的linux虚拟机就是不运行,查了后是缺头文件,于是装好环境,运行了。
破解的工具是IDA,main函数调用个函数,进去后是一片变量声明,后面就是文档里说的一堆switch,也就是虚拟机壳接收指令集的方式。通过阅读和变量重命名,终于看会了它的原理。真正的代码被放在某个数据段中,这个函数的作用只是把它读出来,然后根据代码中的第一位判断指令,后面几位是对应的参数,基本就是mov ax, bx这类汇编指令的二进制版本。我的初步目标很简单,就是把这些代码翻译出来,至少翻译成逐句的文字版汇编指令。
我这段时间以来用的最多的是C++,考虑到不练就生疏的问题,决定练练python。Python是可以读取二进制文件的,一开始做感觉不适应,代码却很短,也是with open这些,然后写反汇编的时候就发现没有switch,于是费劲写了一堆elif。于是分屏对比着写反汇编码,由于其中有不少跳转指令,所以额外添加了行号的显示,其中4154到7899是从59开始(大概?)往后的代码段地址,我已经做了反xor处理,否则59往后都是乱码。可以看到其中还有很多不完善的地方,不过基本的指令已经可以看出来了,有能力的读者可以从最后硬编码的一些数据中恢复出30位的ascii码密码。

1: mov ds[0], 4154
8: mov ds[1], 7899
15: mov ds[3], ds[0]
19: mov ds[5], 24432450
26: mov ds[4], [ds[3]]
29: ds[4] = ds[5] xor ds[4]
34: mov [ds[3]], ds[4]
37: ds[3] = ds[3] + 4
45: cmp ds[1], ds[3]
49: jge not jumping
54: jmp to 58 (40fa)
59: jmp to 3008 (4c80)
3009: push
3012: push
3015: push
3018: call 2669
2670: mov ds[0], 80
2677: call 63
64: io: put_char
66: ret (2681)
2682: mov ds[0], 108
2689: call 63
64: io: put_char
66: ret (2693)
2694: mov ds[0], 101
2701: call 63
64: io: put_char
66: ret (2705)
2706: mov ds[0], 97
2713: call 63
64: io: put_char
66: ret (2717)
2718: mov ds[0], 115
2725: call 63
64: io: put_char
66: ret (2729)
2730: mov ds[0], 101
2737: call 63
64: io: put_char
66: ret (2741)
2742: mov ds[0], 32
2749: call 63
64: io: put_char
66: ret (2753)
2754: mov ds[0], 101
2761: call 63
64: io: put_char
66: ret (2765)
2766: mov ds[0], 110
2773: call 63
64: io: put_char
66: ret (2777)
2778: mov ds[0], 116
2785: call 63
64: io: put_char
66: ret (2789)
2790: mov ds[0], 101
2797: call 63
64: io: put_char
66: ret (2801)
2802: mov ds[0], 114
2809: call 63
64: io: put_char
66: ret (2813)
2814: mov ds[0], 32
2821: call 63
64: io: put_char
66: ret (2825)
2826: mov ds[0], 121
2833: call 63
64: io: put_char
66: ret (2837)
2838: mov ds[0], 111
2845: call 63
64: io: put_char
66: ret (2849)
2850: mov ds[0], 117
2857: call 63
64: io: put_char
66: ret (2861)
2862: mov ds[0], 114
2869: call 63
64: io: put_char
66: ret (2873)
2874: mov ds[0], 32
最低0.47元/天 解锁文章
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 7272
加密壳脱壳
恶意样本脱壳-GandCrab2.0 脱壳笔记分析记录
LoopherBear的博客
05-20 797
GandCrab2.0 脱壳笔记分析记录 有人在2018年的时候就分析过了恶意样本分析,相关资料可以查看参考部分。由于里边有很多可以学习和总结的脱壳技术,因此重新分析这个样本,这篇文章暂时不做加密和勒索实际功能分析,如果要看分析样本形成勒索的过程以及相关分析报告,可以直接跳到参考部分,这篇文章主要关注的是脱壳相关的一些技术细节的分析,由于文章是我个人的一些分析和总结,因此会有一些不足,比较趋向于像我这样刚接触恶意软件分析,由于很多样本在分析前需要脱壳之后才能看到核心功能,因此这里重点关注脱壳过程,主要内容如
elf 变异upx 脱壳
m0_49936845的博客
08-29 3454
题目 是某ctf题 首先使用IDA打开: 函数极少,有壳。 查看函数 这个跳转比较可疑 下面进行IDA动态调试 进入loc_52D516 再进入 直到找到jmp r13 运行到这里,F8跳转 直接retn下断点F9,直接retn下断点F9重复, 直到遇到一个大跳转 单步,然后return 来到了程序入口 下面dump脱壳(转储的意思)。 dump要使用脚本,因为我是个菜鸡,直接在网上找的脚本,通用的。 idc脚本下载 可以存放在ida里面有个脚本的文件夹idc,源码后面会附上 首先 在D盘下
攻防世界easyre-153_upx壳脱壳_020
weixin_43281394的博客
04-04 457
攻防世界easyre-153,upx脱壳,ida反编译的优化 导致 反编译得到的代码没有价值,此时需要crack,把有用的代码整出来
upx查壳去壳
weixin_63282980的博客
03-24 1915
ELF文件查壳
android elf 加固_常见android app加固厂商脱壳方法研究
weixin_39760434的博客
12-19 163
目录简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳简述Apk文件结构Dex文件结构壳史壳的识别Apk文件结构Dex文件结构壳史第一代壳 Dex加密Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader第二代壳 Dex抽取与So加固对抗第一代壳常见的脱壳法Dex Method代码抽取到外部(通常企业版)Dex动态加载So加密第三代壳 Dex动态解密与...
linux软件逆向分析,详解对ELF64之手动脱壳的逆向分析
weixin_30420045的博客
05-07 1393
应一位朋友之邀,对“吾爱论坛‘ELF64手脱upx壳实战’一文”进行了再重现,考虑到朋友他对原文过程理解不深,特抽空行文,着重对每个步骤、每个知识点进行了分解,现共享出来以回馈社会;同时此文对IDA远程调试、编写idc脚本有指导作用。原文:https://www.52pojie.cn/thread-1048649-1-1.html,是一篇打了精华标签的帖子,我希望你不要看作者写的,因为你如果按文中...
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 653
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方法是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
脱壳学习记录----DLL找OEP
qq_42192672的博客
09-13 1639
还是做一些加密解密3的学习记录 文件链接:https://pan.baidu.com/s/1-KiagpsimjDBsyMF01ouxA 密码:tt8u 工具链接:https://pan.baidu.com/s/14dP_ksqM8WvTnKxCZ18xUw 密码:qqr5 DLL文件脱壳相比于EXE脱壳困难一些 先压缩,要是失败了,就找别的工具吧 用PEEditor查看一下加壳后的DL...
ELF去壳
sfz200809242719的专栏
04-05 1188
gcc -c -static a.c -o a.o ld -Ttext=0×0000 -nostdlib  a.o -o a    (Ttext代码段开始,nostdlib无标准库) objcopy -I elf32 -O binary a a.bin 如果要去头,得把代码段的加载地址给赋值了,默认的Ttext是共享库加载的. gcc -e 段名   指链接时手动指向从哪个地方开始
Android so加固简单脱壳代码
09-27
Android so加固的简单脱壳,也是Android ELF文件格式学习不可不学习的知识内容,想学习Android so加固脱壳ELF的section重建的同学可以学习一下。
ELF64手脱UPX壳实战
最新发布
qq_41683953的博客
08-08 408
UPX脱壳
脱VM壳的基本方法
钞sir的博客
04-15 1万+
VMP2.07为例: 工具:吾爱破解OD 右键选择FKVMP>>start,点击OD上方的L按钮,找到retn,然后记录rentn的地址; 然后CTRL+G快捷键对VirtualProtect函数下断点,按F9运行观察堆栈区,直到NewProtect=PAGE_READONLY为止; 之后取消断点按ALT+M,对代码段下内存访问断点; 再次按一次F9后取消代码段的内存访问...
常见脱壳与反编译工具
qq_42016346的博客
07-03 5412
目录 一、Android APK 查壳工具 二、Xposed框架下的脱壳工具 1.Zjdroid 2. DexExtractor(可在真机使用) 3. dexdump 4.FDex2 三、Frida框架下的脱壳工具(方便且持续更新) 1. frida-Android脱壳 2. frida-unpack 3.FRIDA-DEXDump 4.frida_dump 5.FRIDA-APK-UNPACK 四、AndroidKiller脱壳插件: 1.drizzleDumper ...
[转] 菜鸟手脱VMP,附上脱壳过程和自己写的脚本,可跨平台
weixin_30618985的博客
02-26 1万+
转载:http://www.52pojie.cn/thread-467703-1-1.html 工作需要要脱一个VMP壳,我是一个从来没接触过脱壳的人。瞬间那种心情遇到的人应该都知道!没办法硬着头皮找教程,7天看完了 《天草的壳的世界》尝试脱壳下面是我的脱壳过程希望大牛多多指正!1、准备工具,FEID(查壳工具)、DIE(查壳工具)、LordPE(dump工具)、ImpRec(IAT修复工具)、...
ELF文件加固
Tesi1a的充电桩
07-27 2672
0x01 ELF文件介绍 APK里的.so文件ELF文件(Executable and Linking Format)最初是由 UNIX 系统实验室(UNIX System Laboratories,USL)开发并发布的,作为应用程序二进制接口(Application Binary Interface,ABI)的一部分。工具接口标准(Tool Interface Standards,TIS)委...
爱加密so VMP浅析
雪一梦的博客
07-28 3765
一、静态分析: 如图是函数入口和vmp的整体器部分: 可以大致看到整个的dispatcher部分如下所示: 虚拟数据表如下所示,根据这些去调用对应的Handler; 二、动态分析: 这里分析简单列出几个比较重要的handler: case 16:对于参数赋值操作; case 76: 得到函数头信息; case 77: 也是重点函数,从“mov pc r1”可以看出...
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6329
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
Android SO 加壳(加密)与脱壳思路
热门推荐
jltxgcy的专栏
08-14 2万+
0x01 常见的Android SO加壳(加密)思路 1.1 破坏Elf Header 将Elf32_Ehdr 中的e_shoff, e_shnum, e_shstrndx, e_shentsize字段处理,变为无效值。由于在链接过程中,这些字段是无用的,所以可以随意修改,这会导致ida打不开这个so文件。 1.2 删除Section Header ...
一个软件如何脱壳逆向解析
07-13
软件脱壳和逆向工程是一种研究和分析软件的方法,但需要注意的是,这些活动可能涉及到侵犯软件的版权和法律问题。在进行任何逆向工程前,请确保您遵守适用的法律法规,并且只对您有合法所有权的软件进行操作。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值