逆向——脱壳

最新推荐文章于 2022-07-06 09:17:27 发布
最新推荐文章于 2022-07-06 09:17:27 发布
阅读量798 收藏 6
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/89886147
版权

逆向——脱壳


#脱壳

有壳和无壳的区别

壳的类型
  • 压缩壳
  • 加密壳
  • 虚拟机壳
区别
  • 入口点改变
  • 区段信息改变
  • 代码段程序隐藏
  • 加壳程序修改后无法保存
  • 运行后,恢复的程序会将修改的内容覆盖
脱壳的关键

寻找OEP(原始程序入口点)

寻找OEP

寻找大跳转
  • 小跳转:JMP SHORT XXXXXX(EB)
  • 大跳转:JMP XXXXXXX(E9)
  • 间接寻址:JMP [XXXXXXX](FF25)
SFX功能定位OEP
  • SFX功能是OD自带的
  • SFX需要在程序代码段以外使用(加载后入口点在程序代码段则不能使用)
  • 当出现分析异常时,在UDD文件下删除对应的分析记录,重新导入
  • 使用完成后将SFX设置归位
内存执行定位OEP
  • 排除法,在区段信息中除了壳操作(解密、还原、写入)的段依此尝试设置内存访问断点(特殊OD)
ESP定律
  • 堆栈平衡原理
  • 流程
      <
最低0.47元/天 解锁文章
你的名字5686
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD脱壳八大法
老北京砸酱锤的博客
06-22 3793
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2513
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6050
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2488
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP的方法 下
脱壳的艺术
03-11
脱壳的艺术】这篇文章主要探讨了逆向工程中一个关键的环节——脱壳技术,它对于初学者和专业分析人员都是必备的知识。脱壳是指在逆向分析过程中,解除程序的保护层,通常是壳,以便深入了解程序的工作原理。壳可以...
脱壳的艺术—— Mark Vincent Yason
07-19
介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用这些保护的技术及公开可用的工具。这些信息将使研究人员特别是恶意代码分析人员在分析加壳的恶意代码时能识别出这些技术,当这些反逆向技术阻碍其成功分析时...
记一次frida实战——对某视频APP的脱壳、hook破解、模拟抓包、协议分析一条龙服务1
08-03
一、前言前天看雪学院frida 是一个十分强大的工具,已经学习它有一段时间了,但也只是零零碎碎的练习与使用。最近在对一个 APP 进行分析的过程中,使用 fri
OD使用经验
zacklin的专栏
07-12 7291
1.我的os是winXP,无法使用trw2000,而softice装了多次均未成功,还蓝屏死机多次.郁闷. 2.友好的gui界面,不像softice.可以边干活边听歌,不像softice,把整个os都挂起了.多用两次,连时间都不知道了. 3.强大的内存查看功能,再不用什么-d了,而且跳转方便,爽!一目了然. 4.强大的右键菜单功能 菜单: 文件: 1.其中包括该菜单的下部
大神论坛 逆向脱壳分析基础学习笔记一 进制篇
xiaotuge_always的博客
03-20 182
本文为本人的滴水逆向破解脱壳学习笔记之一,为本人对以往所学的回顾和总结,可能会有谬误之处,欢迎大家指出。 陆续将不断有笔记放出,希望能对想要入门的萌新有所帮助,一起进步 所有笔记链接: 大神论坛 逆向脱壳分析基础学习笔记一 进制篇 大神论坛 逆向脱壳分析基础学习笔记二 数据宽度和逻辑运算 大神论坛 逆向脱壳分析基础学习笔记三 通用寄存器和内存读写 大神论坛 逆向脱壳分析基础学习笔记四 堆栈篇 大神论坛 逆向脱壳分析基础学习笔记五 标志寄存器 大神论坛 逆向脱壳分析基础学习笔记六 汇编跳转和比较指令 大神论坛
逆向脱壳-压缩壳脱壳单步跟踪方法
12-03 863
1、压缩壳原理 所有的文件在存储中都是以0和1的形式存在的。 比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长, 但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算法),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。 有些算法是无损的,也就是说都可以还原成与原文件一模一样;也有些算法是有损算法,但一般压
Android逆向实战篇(加密数据包破解)
热门推荐
shayuchaor的博客
11-05 2万+
目录 1. 实战背景 2. 问题分析 3. 实战记录 1) 脱壳 2) 找到解密函数 3) 重现 4. 总结 阅读本文之前,建议阅读Android逆向实战篇(Https抓包)。 1. 实战背景 由于工作需要,要爬取某款App的数据,App的具体名称此处不便透露,避免他们发现并修改加密逻辑我就得重新破解了。 爬取这款App时发现,抓包抓到的数据是加密过的,如图1所示(原数据较长...
VMP.Net 3.5 脱壳
biyusr的专栏
07-06 4461
步骤 1. 启动KSDumper并通过运行它从内存中转储。步骤 2. 使用CFF Explorer 修复转储文件的部分特征。步骤 3. 现在使用wwh1004 制作的 Demutation Tool清理 VMProtect 的Mutation。步骤 4. 使用de4dot反混淆。步骤 5.使用DarkBullNull 的VMP Killer。步骤 6. 在dnSpy中打开并转到 Module.cctor 并 nop 调用。步骤 7. 破解验证方法。------以上方法来自BlackHat@Tuts 4 Yo
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4286
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
[转] 菜鸟手脱VMP,附上脱壳过程和自己写的脚本,可跨平台
weixin_30618985的博客
02-26 1万+
转载:http://www.52pojie.cn/thread-467703-1-1.html 工作需要要脱一个VMP壳,我是一个从来没接触过脱壳的人。瞬间那种心情遇到的人应该都知道!没办法硬着头皮找教程,7天看完了 《天草的壳的世界》尝试脱壳下面是我的脱壳过程希望大牛多多指正!1、准备工具,FEID(查壳工具)、DIE(查壳工具)、LordPE(dump工具)、ImpRec(IAT修复工具)、...
【iOS逆向工程】从脱壳到获取源码
后进生的代码笔记
10-26 1万+
脱壳,获取源码.h文件,获取关心的伪代码
reverse逆向脱壳工具
最新发布
09-14
常用的逆向脱壳工具有以下几种: 1. Ollydbg(OD):它是反汇编工作中常用的工具,内置了强大的反汇编器和代码分析能力,可以识别循环、switch控制块等代码结构。 2. IDA Pro:被广泛认可为逆向工程领域的事实标准,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值