脱壳--00.exe

已于 2022-02-08 14:54:47 修改
阅读量558 收藏 2
点赞数
分类专栏: 脱壳 文章标签: 其他
于 2022-02-08 14:51:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45012273/article/details/122822941
版权

使用OD打开 发现不能使用esp定律了 我们可以通过特征去找到OEP(入口点)

直接运行程序 发现是FF15方式调用函数 就可以确定是VS的程序

vs程序大致分成两种 vs20xx (特征函数:GetSystemTimeAsFileTime)和 vc++6.0(特征函数:GetVersion) 在这两个函数上下断点 

 

直接运行程序 程序断下 发现并不是我们的模块调用的此函数 继续运行直到可返回我们的模块位置 

返回自己代码的模块调用的函数以后,在向上一层应该就是我们的call ?? ?? ?? ?? jmp 

vs release版的OEP的特征 下断点重新运行 

 直接dump程序

这时候dump出来的程序是没办法运行的所以需要 ImpREC工具去修复导入表 获取导入表后发现导入了一个dll 所以我们需要用OD检查下这个程序的导入表(随便找一个函数调用 call的地址就是导入表)

检查后发现他的导入表的dll间隔是利用FFFFFFFF隔开的 正常使用00000000隔开

 impREC这个工具就是遇到无效的API的时候就会停止搜索 所以看到FFFFFFFF以后就停止搜索了 我们需要手动的把f更改为0 填充后在dump一下

 

在次使用impREC扫描一下  函数就都出来了 在转存到文件

最后程序成功运行 也就脱壳成功

很酷很爱笑
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一篇学会——06.exe
摔不死的笨鸟的博客
09-07 7062
加密
frida-server-15.0.8-android-arm64.xz
07-15
Android hook,frida hook,安卓hook,必备
--03.exe OD脚本
weixin_45012273的博客
02-08 1267
和02程序类似 但是我们换一种方式 就是利用OD脚本 我们通过02程序知道代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat表中 在我们调用api的时候 并没有直接调用到api 而是加密后的api的代码 脚本的框架:只需要知道三个地址 获取真正api的地址 填写iat的地址和oep的地址 得到获取真正api的地址把api地址存放在一个临时变量里 中间不管他怎么加密 到填写IAT表的时候 都会填写我们事先保存的临时变量里的api的地址 我们现在只要调试出这三
对一个加的可执行文件进行三种方法
任浩的博客
02-03 1807
1、自动静态:通过一些工具即可,相当于解压缩,最为方便快捷 2、自动动态:运行可执行文件,让存根的的文件出原始的可执行文件。 3、手动:找到加算法程序,自己分析源程序进行。 ...
逆向破解程序篇-压缩
iqiqiya的博客
04-11 6105
一、普及What?所谓“”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的。WHY?① 对程序专门进行...
第51章-ASProtect v2.3.04.26-Part11
08-03
第51章-ASProtect v2.3.04.26-Part11
第54章-EXECryptor v2.2.50.a-Part11
08-03
我们的目标程序是UnPackMe_ExeCryptor2.2.50.a.exe,这是一个具有不同加密级别的示例,难度逐渐增加。通过运行这个程序并分析其弹出的对话框,我们可以了解到它的保护措施。与UPX进行对比,可以更容易地确定OEP...
第55章-EXECryptor v2.2.50.a-Part21
08-03
第55章-EXECryptor v2.2.50.a-Part21
第52章-ASProtect v2.3.04.26-Part21
08-03
第52章-ASProtect v2.3.04.26-Part21
exe文件步骤txt下载
01-07
步骤 步骤 的概念: 所谓“”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的的作用: 1.保护程序不被非法修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测的软件 PEID v0.92 这个软件可以检测出 450种 新版中增加病毒扫描功能,是目前各类查工具中,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的 下面进行 步骤2 对一个加了的程序,去除其中无关的干扰信息和保护限制,把他的去,解除伪装,还原软件本来的面目。这个过程就叫做成功的标志 后的文件正常运行,功能没有损耗。 还有一般后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的软件进行,由于软件的机理不通,出来的文件大小也不尽相同。 关于有手动和自动 自动就是用专门的 很简单 按几下就 OK了 手动相对自动 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的 不过它的机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符中输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外软件 UPX SHELL v3.09 UPX 外程序! 目的让UPX的傻瓜化 注:如果程序没有加 那么我们就可以省去第二步的了,直接对软件进行分析了。 完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户中的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于中文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or
EXE程序工具
03-19
EXE程序工具
PEcompact教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩,压缩可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下了 004010EC > 68 CC624000 push srtmaker.004062CC ; VB5!6&vb6chs;.dll 004010F1 E8 EEFFFFFF call srtmaker.004010E4 ; jmp 到 msvbvm60.ThunRTMain 004010F6 0000 add byte ptr ds:[eax],al 004010F8 0000 add byte ptr ds:[eax],al 004010FA 0000 add byte ptr ds:[eax],al 004010FC 3000 xor byte ptr ds:[eax],al 004010FE 0000 add byte ptr ds:[eax],al 00401100 40 inc eax ; srtmaker. 这就是OEP,程序入口 然后打开LordPE 完整转存 然后打开IMPortREC 到此已经好了,请各位爽吧
安装程序解包工具,可以自动
02-04
安装程序解包工具,可以自动,特别复杂的可能需要手工处理一下。
exe工具加上exe修改工具
06-25
很好用的exe工具加上很好用的exe修改工具 帮你更方便的修改exe文件。(exe工具百度有教程)
什么是加技术?加技术是什么意思?
人生代码,代码人生。。。
09-30 7591
什么是加技术?加技术是什么意思? 加,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。加一般是指保护程序资源的方法。 一般是指除掉程序的保护,用来修改程序资源。马甲”能穿也能。相应的,有加也一定会有解(也叫)。主要有两种方法:硬和动态
逆向学习1-[技术]/篇1
m0_52343643的博客
04-21 2567
是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 的分类 分为压缩和加密 压缩 压缩主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩有:Upx、ASpack、PECompat 加密 加密应用有多种防止代码逆向分析的技术,用该的PE文件会比原文件大很多,有时恶意程序也用加密来降低杀毒软件的扫描 常见的加密有:ASProtector、Armadillo、EXECryptor、T.
专门针对Exe与dll的加工具
03-05
这是一组对应用程序加的工具。其中upx.exe能够将应用程序加,只需将其拖放到upx.exe图标上即可。
gonna2011的博客
03-11 156
1.对特定的可以用专门的软件进行。 2.也可以手动 想要首相要明白加的原理是什么?是怎么运作的?加是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外后,原始程序代码在磁盘文件中一般是以加密后的
frida-dexdump 工具
最新发布
06-28
Frida-dexdump是一款用于Android应用程序的工具。它基于Frida框架,可以在运行时动态地注入代码,从而实现对应用程序的监控和修改。通过使用Frida-dexdump,用户可以获取应用程序的dex文件,进而进行反编译和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值