180225 逆向-脱壳技术(8)

最新推荐文章于 2023-06-18 13:11:16 发布
最新推荐文章于 2023-06-18 13:11:16 发布
阅读量474 收藏 2
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79655896
版权

1625-5 王子昂 总结《2018年2月25日》 【连续第512天总结】
A. 脱壳技术(8)脱压缩壳的技巧
B.

压缩壳

UPX

UPX壳既破坏了输入表也破坏了重定位表,因此尽量使用自解压命令来脱 

upx -d File

有些工具为了防止UPX的自解压会修改UPX的标志位使其识别失败,例如UPXPR和UPX-Scrambler
此时就需要修复各个标志位

UPXFIX这个工具可以自动修复
手动时则需要注意:

  1. 区段名
    两个块名应该为UPX0和UPX1
  2. UPX!标志
    区段前会注明版本号,形如3.01.UPX!....
    如果这个标志被删除,同样也会无法解压
    修复时可以依据标志字节0C 09 ?? ??0D 09 ?? ??,将其还原即可

手动脱壳时需要注意重定位表被清空,壳程序解压后会自己填充重定位信息
因此在脱壳时需要跳过填充部分的代码,将未被改变的原程序dump下来,然后再找到真正的重定位表来修复

ASPack

该外壳运行时,有一段时间会出现完整的原程序,包括输入表、重定位表都是完整的
因此它的兼容性极好
然而也正因为此,脱壳非常轻松,只要抓住这个时机将其dump出来就能得到原程序

C. 明日计划
脱壳技术(9)

奈沙夜影
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳技术脱壳技术脱壳技术脱壳技术
11-29
关于脱壳技术的学习 希望对大家有用脱壳技术脱壳技术脱壳技术
180224 逆向-脱壳技术(7)
whklhhhh的博客
03-21 443
1625-5 王子昂 总结《2018年2月24日》 【连续第511天总结】 A. 脱壳技术(7) PE文件的优化 B. 脱壳后的优化 一般脱壳没有将外壳本身的代码去除,资源也没有完全释放,此时脱壳后的程序会比原始程序大 另外虽然能正常运行,但在一些场合下可能会遇到问题,例如一些汉化工具不识别脱壳后的文件,或某些功能无效等 优化输入表存放位置 用ImportREC重建输入表,一...
脱壳技术简谈
热门推荐
islq's space
07-03 1万+
首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的
逆向脱壳入门
壊壊的诱惑你的博客
05-21 860
两个入门级的脱壳的CTF题目,记录一下。 一、逆向脱壳入门题目 1.nSpack壳 先用IDA打开看看: 可以看到有壳,而且解析出来的函数很少,对脱壳后的文件如下: 可以看到多出了很多函数。 用ESP定律进行脱壳,OD打开软件后如图: 可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ES...
逆向基础:脱壳技术
lm19770429的专栏
11-15 364
区块的对齐值 有两种对齐值,一种用于磁盘文件内,另一种用于内存中。 在PE文件头里,FileAlignment定义了磁盘区块的对齐值。200h,512 SectionAlignment定义了内存中区块的对齐值。1000h,4K 应用程序加载映射示意图 寻找OEP OEP是程序的原始入口点,一个正常的程序只有EP,只有入口点被修改的程序(加壳等),才会拥有OEP。 ...
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
iOS 底层原理逆向脱壳实战-课件
最新发布
09-09
"iOS 底层原理逆向脱壳实战-课件"是针对这一主题的专业学习资料,涵盖了多个关键知识点。 首先,让我们来探讨一下07-theos.pdf和07-theos.pptx,这两个文件可能涉及到Theos工具的使用。Theos是一个用于iOS平台的...
第31章-脱壳简介1
08-03
学习脱壳不仅可以增强逆向分析技能,还能帮助我们理解壳的运作机制,以便于开发更有效的反逆向技术或找到绕过壳的方法。然而,值得注意的是,每个壳都有其独特的实现方式,因此掌握一种壳的脱壳方法并不意味着可以...
脱壳实例-易语言
12-07
本文将详细探讨“脱壳实例-易语言”,包括易语言的编译方式以及如何处理脱壳技术。 易语言是一种中文编程语言,它的设计目标是使编程更加简单、直观,尤其适合初学者。易语言提供了两种编译方式:独立编译和非独立...
iOS逆向工程使用dumpdecrypted工具给App脱壳
09-01
iOS逆向工程是一种技术,用于分析和理解iOS应用程序的工作原理,通常用于安全研究、调试或破解。在iOS系统中,AppStore下载的App都进行了加密处理,这就是所谓的“加壳”,目的是保护应用的代码不被轻易反编译或篡改...
Re-脱壳技术 脱壳学习(1): 壳的概念学习
逆向随笔
12-26 576
壳的概念 壳是在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。 壳是在一个程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。 壳的分类 壳分为两类:压缩壳和加密壳 压缩壳 使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源,便于网络传输和保存。 压缩壳用途: 1...
Re-脱壳技术 脱壳学习(2): 脱壳七法
逆向随笔
12-26 809
1. ESP定律 使用条件:OD载入之后F8单步一下,寄存器ESP中存放的值被改变(开始第一条语句为pushad) 1. 用OD载入 2. 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 3.设置硬件断点 右键数据窗口跟随,|| 或者直接点HW break[ESP],此插件会自动帮忙下好硬件断点 数据窗口设置 从最开始的数据开始选,(别选太少就行)然后右键→断点→硬...
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2564
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
浅谈脱壳中的Dump技术
qiaoli的知识备忘录
08-18 447
原文连接: http://bbs.pediy.com/showthread.php?t=17624 在此先记录下网址,以后再整理原文,以免忘了。
180218 逆向-脱壳技术(1)
whklhhhh的博客
03-21 449
1625-5 王子昂 总结《2018年2月18日》 【连续第506天总结】 A. 脱壳技术(1) B. 加载过程 壳和病毒在有些方面类似,都需要比源程序代码更早的获得控制权。 保存入口参数 初始化时保存各寄存器的值,执行完毕后再恢复各寄存器。通常使用pushad\popad, pushfd\popfd 获取壳自己所需要使用的API 一般外壳的输入表中只有GetProc...
脱壳方法总结
宗泽的博客
06-09 9380
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
180226 逆向-脱壳技术(9)
whklhhhh的博客
03-22 351
1625-5 王子昂 总结《2018年2月26日》 【连续第513天总结】 A. 脱壳技术(9)加密壳的一些技术 B. 加密壳 ASProtect 这款壳由于过于经典,因此在看雪等论坛上有多篇分析文章,不再赘述脱壳方法 主要列举一些技术 Emulate standard system functions 它将API入口一段代码抽到外壳里,然后输入表里填充外壳地址,...
180220 逆向-脱壳技术(3)
whklhhhh的博客
03-21 425
1625-5 王子昂 总结《2018年2月20日》 【连续第507天总结】 A. 脱壳技术(3)抓取内存映像 B. 抓取内存映像 又叫转存、Dump 就是把内存中的指定数据保存为文件,写入磁盘中 脱壳时,如果将解密后的原程序dump出来,就得到了原程序的核心部分,只要修复IAT等部分就基本还原了 而在何时dump文件是有一定技巧的。 一般在OEP处dump。 如果运行以后du...
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 4178
历史:壳是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
REA逆向工程电子书:脱壳教程与论文集
2. 脱壳技术:讲解如何分析程序的入口点,识别加壳机制,以及如何逐步剥离保护层。 3. 加密与解密:讨论加密算法,如 XOR、RSA、AES 等,以及如何解密被保护的代码。 4. 反调试技术:介绍如何绕过反调试技巧,如检测...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值