逆向脱壳实训 #1 手脱UPX

最新推荐文章于 2024-05-03 16:13:07 发布
最新推荐文章于 2024-05-03 16:13:07 发布
阅读量318 收藏 1
点赞数 1
分类专栏: 逆向学习 文章标签: debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48066554/article/details/122053366
版权

逆向脱壳实训 #1

文章目录


闲来无事,学学ximo大佬的脱壳教程

本博客主要内容:复现吾爱破解论坛这个帖子的ximo大佬教程,所有相关环境与工具均可在吾爱破解论坛中查找到

环境 & 工具

  • win xp系统(尝试使用win10系统复现失败,浪费在调试环境上的时间比实际学习的时间还长,只能说不愧是windows)
  • 吾爱破解版ollydbg
  • exeinfope(可使用其他类似查壳工具)
  • ImportREC
  • LordPE

单步跟踪法

主要思想:单步调试程序,当遇到向高地址的跳转正常逐指令执行,当遇到向低地址的跳转时,在ollydbg中选中该指令的下一条指令并运行至该处。直到遇到popad指令后跟随的长距离跳转,随后f8跟随长距离跳转,到达的位置即为OEP(Original Entry Point)即未加壳的程序入口

示例:

image-20211220235121780

​ 此时0x0057910E处将进行向低地址跳转,于是选中0x00579110处指令,单击f4(或右键->断点->运行至此处)

image-20211220235126774

​ 当向上跳转指令的下一条仍是跳转时,选中下一条跳转指令的下一条指令(如图选中0x579131单击f4)

image-20211220235629594

​ 当向上跳转指令的下一条指令为调用指令时,执行到调用指令下一条指令(如图选中0x5791EE单击f4)

image-20211220235911292

​ 注意此时的popad指令以及长距离跳转:从0x5791EE跳转至0x47738C,跟随跳转

image-20211221000152719

​ 0x7738C即OEP,此时右键用ollyDump脱壳调试进程即可

image-20211221000550707

​ 脱壳前后对比

在确认OEP的位置后,、也可以使用LordPE完整转存,然后再使用ImportREC修正

image-20211221002024087

至此,脱壳完毕

lunat:c
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CrackMe005-下篇 | 逆向破解分析 | 160个CrackMe(视频+图文)深度解析系列
逆向驿站
01-24 696
作者:逆向驿站 微信公众号:逆向驿站 知乎:逆向驿站 CrackMe005,上篇说了具体方法,下篇来发逆向分析过程,看看老夫是如何得到上篇的具体方法的! 准备 【环境和工具】 win7/xp虚拟机环境 CrackMe005(ajj2.zip) ollydbg Dededark peid UPXEasyGUI.exe(upx专用脱壳器) 【学习层次】 爆破,但是...
20202414 2022-2023-2 《网络与系统攻防技术》实验四实验报告
h118189的博客
04-16 452
先查看hash值并查看文件类型信息,kali中有实现该功能的指令可以看到生成了对应的哈希值。本次实验流程较长,也使用了很多各种各样的工具,有些是老师给的,但是我感觉有些如IDA的版本太老了,并不是很好用,于是又去网上找了一个,所以实验的一部分时间都花在下软件卸软件上了。本次实验一开始还是感觉挺不好下手的,尤其是查看字符串的时候,总是一堆完全看不懂的东西,但是参考了学长学姐的资料后,慢慢也按照他们的流程走,也就知道了应该如何操作那些工具以及如何进行对恶意代码进行分析,应该说也算是受益匪浅。
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2592
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
逆向脱壳实训 #2 手脱FSG及寻找IAT
weixin_48066554的博客
01-01 586
逆向脱壳实训 #2 手脱FSG及寻找IAT 文章目录逆向脱壳实训 #2 手脱FSG及寻找IAT环境 & 工具脱壳单步跟踪查壳OEP寻找IAT校准 之前的ASPACK和NSPACK跟UPX脱起来差不多,就没有再写文章记录 但FSG相对前三者无论是在脱壳上还是在修复上都有了不小的差别,所以记录下手脱的经验 环境 & 工具 win xp系统(尝试使用win10系统复现失败,浪费在调试环境上的时间比实际学习的时间还长,只能说不愧是windows) 吾爱破解版ollydbg exeinfope(可使
160个破解练习之CrackMe 005 CKme002
a545958498的博客
11-13 1733
注:分析的过程借鉴了吾爱论坛的一篇文章  文章地址: https://www.52pojie.cn/thread-366291-1-1.html 首先打开软件,界面如下: 输入用户名点击注册按钮没有任何反应,因为有了第四题的经验,直接用Dark打开软件分析事件函数:         可以看到,这个软件注册的函数有:窗口创建完毕、按钮鼠标按下、面
20232803 2023-2024-2 《网络攻防实践》实践八报告
weixin_46701653的博客
05-03 830
在分析网络数据源的过程中,面对大量的数据,我学会了如何筛选和识别关键信息,通过对数据包的深入分析,我能够理解攻击者的策略和行为模式。在筛选后的数据包中发现只有NBNS包,NBNS是网络基本输入/输出系统(NetBIOS)的一部分,主要负责在基于NetBIOS名称访问的网络上提供主机名和地址映射服务。如上图所示,前面的字符串都是一些乱码,而最后出现了两个dll文件和三个没有文件名后缀的文件,根据这三个文件的文件名,猜测是程序或函数。在筛选后的数据包中只有一些TCP三次握手过程的数据包,没有数据的交互。
20222806 2022-2023-2 《网络攻防实践》实践八报告
qq_34529750的博客
05-06 337
任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。僵尸网络的危害性在于它的分布式性质和难以追踪性,攻击者可以通过远程控制指挥大量的僵尸计算机,从而造成广泛的网络攻击和破坏。攻击者可以利用僵尸网络传播各种恶意软件,如病毒、木马、勒索软件等,感染更多的计算机并扩大僵尸网络规模。可以看到tcp有端口135、139、25、445、4899、80;
20232805 2023-2024 《网络攻防实践》第8周作业
h1046782759的博客
04-29 614
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
网络安全行业名词
怡红群芳的博客
04-07 4226
网络安全行业名词
第34章-手脱UPX,修复IAT1
08-03
在本章中,我们将深入探讨如何手动解除 UPX 壳并修复程序的输入地址表(IAT)。首先,我们要理解为什么需要手动修复 IAT。IAT 是 Windows 程序加载时,操作系统用于存储外部 DLL 函数入口点的表。当程序被加壳后,如...
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
手脱UPX的四种方法",是为初学者设计的,旨在帮助他们了解如何对使用UPX壳的程序进行手动脱壳操作。 首先,我们要理解什么是壳。在计算机安全术语中,壳是一种用于保护程序代码的技术,特别是恶意软件,以避免被反...
upx脱壳机--用于upx脱壳
02-05
"upx脱壳机"则是专门针对UPX压缩的程序设计的一款工具,旨在帮助用户剥离UPX外壳,恢复原始的未压缩代码。 在Windows环境下,"upx脱壳机"作为一个简单的脱壳工具,提供了用户友好的图形用户界面(GUI),使得操作...
UPX加壳脱壳
02-26
1. **兼容性**:并非所有程序都适合使用UPX加壳,某些程序可能会因为加壳而出现兼容性问题,如崩溃或功能异常。 2. **安全性**:虽然UPX本身是合法的工具,但其加壳技术可能被滥用,因此,某些杀毒软件可能会误报...
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
数理方法习题 前六章.pdf
08-03
数理方法习题 前六章
某大型制造企业IT蓝图规划及实施路线.pptx
08-03
某大型制造企业IT蓝图规划及实施路线.pptx
基于Springboot和Vue的社区团购系统设计源码 社区团购系统设计代码(98分期末优秀大作业)
08-03
社区团购系统设计源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
去哪儿旅游&小红书-旅行行业:2023五一旅行趋势报告—想出去玩.pdf
最新发布
08-03
去哪儿旅游&小红书-旅行行业:2023五一旅行趋势报告—想出去玩
手动脱壳与修复IAT:从UPX到Import REConstructor
当尝试运行被UPX壳保护的程序时,可能会遇到“无效的Win32程序”错误,这是因为壳阻止了程序的正常启动,我们需要进行脱壳和修复IAT(导入地址表)才能使程序运行。 IAT是每个Windows可执行文件的重要组成部分,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值