upx查壳去壳

已于 2022-04-19 00:04:44 修改
阅读量1.6k 收藏 13
点赞数 3
分类专栏: 笔记 文章标签: 安全
于 2022-03-24 14:23:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63282980/article/details/123710129
版权

壳是对可执行程序资源进行压缩,压缩后的程序可以直接运行

加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是隐藏程序真正的OEP入口点,防止被破解。大多数病毒就是基于此原理。

加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。

这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。

壳可以给逆向工程造成麻烦。可以保护程序,也可以防止被识别,有名的熊猫烧香病毒便采用了UPX壳,防止被杀毒。

在ctf的逆向中,我们首先要查明可执行文件有没有壳,有则需要去掉壳

我们通常使用exeinfope,把文件拖入其中就可以查壳
exeinfope是一种十分出色的查壳工具
http://exeinfo.atwebpages.com/
在这里插入图片描述我们可以查到这个文件是64位ELF(linux下的可执行文件),有UPX压缩

常见的壳有UPX壳
UPX解壳方法如下

https://github.com/upx/upx/releases/tag/v3.96

下载合适的版本
下载好后解压压缩文件
以windouws为例,用命令行打开其中exe文件
cmd示意图程序加载后输入upx -d 待去壳文件地址即可完成去壳
注意该方法不会保存源文件,需要保留的请提前保存。

Xander071
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界easyre-153_upx脱壳_020
weixin_43281394的博客
04-04 325
攻防世界easyre-153,upx脱壳,ida反编译的优化 导致 反编译得到的代码没有价值,此时需要crack,把有用的代码整出来
逆向学习DAY4
Khazking的博客
10-30 161
加密,压缩 IDA远程调试 虚拟机linux.将ida的dbgsrv目录下的linux_server64文件复制到虚拟机中 执行文件 先添加权限chmod 777 文件名 ./linux_server64 ifconfig查看虚拟机信息,拿到ip地址 需要打开服务 在ida中选择远程调试器,进入进程选项,填写host 进入调试后找到retn先按F4让程序运行到retn,然后F7 重复上述操作 设置硬件断点 F2,右...
upx命令行脱壳
m0_74148881的博客
07-28 2255
try upx.exe -d
upx脱壳(最简单方法之一)
最新发布
2301_80820096的博客
04-13 1025
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
elf 变异upx 脱壳
m0_49936845的博客
08-29 2920
题目 是某ctf题 首先使用IDA打开: 函数极少,有。 查看函数 这个跳转比较可疑 下面进行IDA动态调试 进入loc_52D516 再进入 直到找到jmp r13 运行到这里,F8跳转 直接retn下断点F9,直接retn下断点F9重复, 直到遇到一个大跳转 单步,然后return 来到了程序入口 下面dump脱壳(转储的意思)。 dump要使用脚本,因为我是个菜鸡,直接在网上找的脚本,通用的。 idc脚本下载 可以存放在ida里面有个脚本的文件夹idc,源码后面会附上 首先 在D盘下
ELF64手脱UPX实战
turbocc 因程序而激情
05-21 1951
最近在做CTF逆向习题时,遇到一个带有UPXELF CrackMe,题目的目标是找到flag。 由于此前只对PE做过UPX脱壳,本来使用UPX脱壳工具,用命令就能脱壳,但是出于研究的目的,看看ELF文件的UPX如何手动脱壳,话不多说,进入正题~ 0x1 工具和环境 IDA Ubuntu18.04 0x2 寻找OEP 首先在Ubuntu上运行程序,观察程序的运行情况 Ubuntu上打开终端使用命令查看当前IP 将IDA文件夹内的linux_server64拷贝到Ubuntu系统中,给与运行权
脱壳之加密
qq_40655041的博客
08-01 992
脱壳一般流程 信息搜集 查看是什么是什么语言编写的,以及是什么类型的 搜集到信息可以用于判断/OEP 的二进制特征或API特征 vs2013特征: 二进制特征 E8???E9 API特征 GetSystemTimeAsFileTime vc6.0特征 API特征 GetVersion Delphi特征 GetModuleHandleA 找到OEP 可以通过中调用的函数找到IAT表,并从中判...
PEDI查壳工具
03-02
只有剥去,才能更准确地使用调试器、反汇编器等工具进行深入分析。 **6. 恶意软件分析** 在对抗网络威胁时,PEDI工具可以帮助研究人员确定恶意软件的隐藏机制。通过查壳,可以揭示病毒或木马的隐藏行为,从而找...
UPX脱壳
02-26
UPX的“加”过程就是将原始程序包裹在UPX里面,而“脱壳”则是去除这个外,恢复原始程序的原始状态。 UPX技术主要基于两种方式:压缩和映像注入。压缩方式是将原始程序的数据压缩,然后在运行时解压到...
代码查壳工具
07-08
在IT行业中,"代码查壳工具"是一种专门用于检测和分析可执行文件是否被加的技术工具。""通常指的是程序保护技术,通过在原始代码周围包裹一层额外的代码来实现反调试、反静态分析等功能,使得恶意软件更难以被...
自动查壳脱壳工具.rar
06-30
在IT安全领域,"查壳脱壳"是一个关键的话题,主要涉及到恶意软件分析和逆向工程。"自动查壳脱壳工具"是一个针对这个领域的实用工具,它可以帮助用户识别并移除程序上的保护层,即所谓的""。通常被黑客用来隐藏...
FFI(查壳工具)FFI(查壳工具)
09-29
FFI在查壳中扮演的角色是桥梁,它使得我们可以用一种语言(如Python)去调用另一种语言(如C)的API,从而实现对程序的深度分析。这种灵活性和可扩展性使得FFI成为逆向工程和安全研究中的有力工具。 总结来说,FFI...
UPX查壳绕过
Oops-re的博客
04-25 935
一般市面上的查壳软件都是通过特征码进行识别的,虽然效率很高,但是 只要通过去除混淆特征码,那么就可以实现绕过查杀的目的。
手动脱UPX的几种方法
十年磨一剑,霜刃未曾试!
05-05 5258
UPX是一种常见的压缩。通过PEID检测到是UPX的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法。1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置。要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到的循环当中,就出不来了。运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret。跳转之后的代码是popad,一般就是到
upx入门学习笔记
u011337769的博客
01-26 3303
一、开始          Upx是一款开源免费的跨平台的压缩,因此作为学习目的还是很不错的,具体upx的介绍可以查看其官网(链接见参考),通过学习upx更好的了解elf文件的加思路和方式,另外本文也只是对学习过程做一个记录,如有疏漏或错误之处,请多指教,学习交流。 二、分析点          主要分析32位linux下可执行文件的加方式,目的是分析清楚upx的加流程和加思路 ...
linux 查壳工具,die查壳工具 使用教程
weixin_39845206的博客
05-12 877
die查壳工具 使用教程die查壳工具 使用教程这是一款开源软件,有兴趣的同学可以根据源代码自己DIY属于自己的查壳神器》》》https://github.com/horsicq/Detect-It-Easy“DIE”是一个跨平台的应用程序,除Windows版本外,还有适用于Linux和Mac OS的可用版本。许多此类程序(PEID,PE工具)允许使用第三方签名。不幸的是,这些签名只能通过预设掩码...
查看elf文件的常用命令总结
xuxu_123_的博客
05-30 2326
ELF文件不仅包括可执行文件还包括动态链接库和静态链接库。本文主要讲了elf文件的常用命令,供参考。欢迎一起讨论交流~
浅谈被加ELF(即android的so文件)的调试
weixin_30564785的博客
07-29 189
本文只讨论如何调试被加ELF文件,包括调试中的技巧运用及调试过程中可能遇到的问题的解决方法,不包含如何还原加固的DEX本文将以某加程序和某加固为目标。 一、ELF格式简介 ELF全称:ExecutableandLinkableFormat,是Linux下的一种可执行文件格式。 此种文件格式和WINDOWS一样,常见分为两种类型: 1.可执行文件(ExecutableFile)...
upx脱壳(手动)
weixin_45574485的博客
08-28 2702
1.upx脱壳几乎可以算是最简单的了,第一步还是查壳 2.第二步当然是od打开,提示解析代码,是和否都可以,然后f8,打硬件断点。 3.此时再f9执行到硬件断点,可以看到popad,代码到这基本上结束了,后面就是oep。在下面的一个大跳jmp处断点,然后取消硬件断点,f9到断点。 4.然后f8过去,可以看到如下画面。此处作为oep,可以开始进行脱壳 5.右键——使用od调试进程 6.复...
upx1一键脱壳工具
07-31
UPX1一键脱壳工具是一种能够自动解压缩使用了UPX1的可执行文件的工具。UPX1是一种常用的文件压缩工具,它能够显著减小可执行文件的体积,使其在传输和存储时更加高效。 使用UPX1一键脱壳工具可以方便地将使用了UPX1压缩的可执行文件解压缩回原始状态,方便进行进一步的分析和修改。这个工具提供了简单易用的界面,用户只需要选择待解压的文件,点击一键脱壳按钮,工具就会自动进行解压缩操作,并生成一个解压后的可执行文件副本。 通过使用UPX1一键脱壳工具,用户可以方便地获取UPX1压缩文件的原始版本,以便进行代码分析、漏洞挖掘等操作。这对于软件开发人员、安全研究人员以及反病毒软件开发者等来说是非常有价值的。 UPX1一键脱壳工具的优势在于其操作简单、快捷,并且能够批量处理多个文件。它能够提高工作效率,节省用户的时间和精力。 总之,UPX1一键脱壳工具是一种能够自动解压缩UPX1可执行文件的工具,具有简单易用、快速高效等特点。它在软件开发、安全研究和反病毒软件开发等领域具有重要的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值