upx3.94手动脱壳

最新推荐文章于 2024-07-09 00:09:55 发布
最新推荐文章于 2024-07-09 00:09:55 发布
阅读量5k 收藏 1
点赞数 3
分类专栏: 逆向分析 文章标签: 逆向 upx 脱壳 手工 重建导入表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woswod/article/details/80976813
版权
本文档详细介绍了如何在XP环境下使用Ollydbg和ImportREConstructor手动脱除使用UPX3.94加壳的程序。首先通过OD找到入口点,设置硬件断点,然后使用OllyDump进行初步脱壳。接着使用ImportREConstructor重建导入表,通过跟踪调用找到kernel32.dll和msvcr100d.dll的函数地址,最后修正转储生成可运行的未加壳程序。
摘要由CSDN通过智能技术生成

工具:
吾爱破解论坛Ollydbg
ImportREConstructor

upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip

环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对)

自己写了一个很简单的程序,用upx加壳,使用ESP定律脱壳。

  1. OD加载crackme.exe,找到入口点,发现pushad指令
    这里写图片描述
  2. F8单步,在ESP上 右键 -> HW break [ESP] 下硬件断点
    这里写图片描述
  3. F9执行,断住的地方离OEP就不远了。下图中下面那个jmp就是跳转到OEP的指令
    这里写图片描述
  4. 去掉第2步中的硬件断点,走到OEP
最低0.47元/天 解锁文章
woswod
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upx手动脱壳
qq_36963214的博客
10-26 6803
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
UPX3.94+vs2015编译
06-04
标题“UPX3.94+vs2015编译”明我们将讨论如何使用UPX 3.94版本与Microsoft Visual Studio 2015(简称VS2015)结合,来编译和打包项目。 UPX 3.94UPX的一个特定版本,可能包含了该时期的优化和修复。使用最新或...
手动UPX
webcenterol
02-06 187
手动UPX壳 write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移...
upx脱壳
最新发布
m0_62280492的博客
07-09 1343
介绍CTF比赛中常见的upx壳类型
手动UPX 壳实战
weixin_33797791的博客
08-07 124
作者:Fly2015 Windows平台的加壳软件还是比較多的,因此有非常多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳。首先第一步就是 查壳。然后才是 脱壳。 推荐比較好的查壳软件: PE Detective 、Exeinfo PE、DIE工具。   须要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52poji...
逆向入门-脱壳学习第一课-手脱upx
qq_40712579的博客
03-25 687
首先使用peid查壳 可以看见壳为UPX 然后打开od。 使用单步跟踪法。(只允许向下的跳转,不允许向上的跳转) 点击单步运行,单步向下调试。 如果遇见向上的跳转,就在其下方使用f4设置断点,然后接着运行, (注意:如果此时下方为call代码,就在call代码的下方再设置断点。) 之后,跳到如图所示,为push ebp,即找到入口段 接下来便可以开始脱壳了,三种方法:...
脱壳笔记-手工UPX压缩壳
走在成长的路上
01-03 1464
upx壳的手工脱壳学习笔记
upx-3.94-src.zip_UPX_UPX 3.94 压缩_linux 压缩壳_upx src_加壳
09-21
标题中的"upx-3.94-src.zip"指的是UPX 3.94版本的源代码压缩包,适合Linux平台,用于创建所谓的"压缩壳",即在程序的原始二进制代码周围添加一层额外的代码,以实现文件的压缩和加壳。 **UPX介绍** UPX最初由...
upx 3.94 在 vs2015下编译通过
05-24
UPX 3.94是该工具的一个特定版本,它在Visual Studio 2015环境下已经成功编译并通过测试,这意味着用户可以在VS2015这样的集成开发环境中利用这个版本进行调试和二次开发。 首先,让我们深入了解UPX的工作原理。UPX...
UPX加壳/脱壳程序
07-04
"UPX加壳/脱壳程序"是指在UPX的基础上,添加了图形用户界面(GUI),使得用户在没有编程经验的情况下也能更方便地对程序进行加壳或脱壳操作。 加壳是将一个程序的原始可执行代码包裹在另一个程序(壳)内的过程。在...
UPX加壳脱壳
02-26
UPX的“加壳”过程就是将原始程序包裹在UPX壳里面,而“脱壳”则是去除这个外壳,恢复原始程序的原始状态。 UPX加壳技术主要基于两种方式:压缩和映像注入。压缩方式是将原始程序的数据压缩,然后在运行时解压到...
upx(脱壳工具)
10-29
upx(脱壳工具)
UPX脱壳工具.exe
01-15
可以用这个工具脱UPX加过壳的exe可执行程序....................................
一款专用脱upx脱壳工具
06-10
UPX的壳可以用其自身命令脱: upx -d 文件名 但对于处理过的UPX壳,此命令就不好用了。这时,可以用upxfix工具来修复文件,再用unxfix自带的upx来脱。
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
自动脱壳工具drizzleDumper
01-29
一款自动脱壳的工具 使用前提: 手机需要root 使用步骤: 1. 安装加固的包, 2. adb push xxx\drizzleDumper /data/local/tmp 3. adb shell 4. chmod 777 /data/local/tmp/drizzleDumper 5. data/local/tmp/drizzleDumper [包名] [秒数] 例:data/local/tmp/drizzleDumper com.example.modifyso 5 详细步骤可查看压缩包里面的使用说明
UPX手动脱壳
宇丁加
07-07 293
就是一道逆向的简单脱壳题, 由UPX加的壳。然后就要进行脱壳, 想着手动脱壳 熟悉一下UPX加壳的原理。 首先UPX加壳就是压缩原程序的大小。 UPX加壳就是在 原程序头部或者 其他地方插入一段代码,这段代码是用来解析后面被加密的代码(这种加密使原来的代码量变小)。 1是插入的代码,234是 被加密的代码,56是其他 1 2 3 4 5 6 1 7 8 9 5 6 789是原代码。 在程序执行时,通过1处的代码对后面的代码进...
手动UPX脱壳演示
qq_41426887的博客
07-03 7019
首先,用PEid打开加壳后的程序CrackmeUPX.exe,可以发现使用的是UPX壳。UPX壳是一种比较简单的压缩壳,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
手脱UPX壳方法介绍
biao197的专栏
07-30 1220
方法1:单步跟踪 F8单步跟踪,向上不能让他跳,有loopd循环也一样(跳转的下一行按F4:运行到选定位置,循环loopd在call下一句F4执行) 只允许向下跳,如单步跟踪CALL处程序运行,则需要重载程序,再CALL处F7跟进(近CALL F7,远CALL F8) pushad 入栈 popad:出栈 出栈就离OEP不远了 看基址如有大的跳转则为调到O...
手动脱壳与修复IAT:从UPX到Import REConstructor
手动脱壳和修复IAT是逆向工程师必备的技能,特别是在面对那些能检测并阻止常规修复工具运行的复杂壳时。这一过程涉及对Windows执行流程、内存管理和动态链接库的理解,是提升逆向分析能力的关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值