PE文件+UPX壳 ida分析

已于 2023-05-13 21:01:04 修改
阅读量488 收藏 4
点赞数 1
分类专栏: 取证 文章标签: 网络 网络安全
于 2023-05-13 20:12:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wow0524/article/details/130661686
版权

die查壳发现是UPX壳,直接用ida分析,会发现能分析出来的信息特别少,需要脱壳

工具链接发布 ·UPX/UPX (github.com)

 下载压缩包后解压,直接在该文件路径下cmd,输入upx.exe -h安装完成,使用命令“upx -d +文件路径”进行脱壳

脱壳成功,再扫一下,没壳了

 之后再次分析,数据就出来了

五五六六0524
关注
专栏目录
IDA脱Linux下upx
u014715599的博客
01-04 2053
背景 近日,在应急分析木马时发现加了upx,直接用linux下upx -d 脱不成功,在网上查找时发现没有针对IDA远程脱linux下upx的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加样本链接以便于自己尝试。 环境要求 1.IDA 7.0 2.ubuntu 32 PS:小白文,只讲怎么快速脱,原理部分自查。 一、脱前题 1.认识upx      入口特...
反编译工具:IDA Pro,用于分析恶意软件的代码逻辑和行为
百态老人的博客
04-14 1037
综上所述,IDA Pro作为一款功能强大的逆向工程工具,具有直观的图形化界面、丰富的功能和插件支持,以及广泛的应用领域,是分析恶意软件和进行逆向工程任务的首选工具之一。:IDA Pro提供了强大的逆向工程功能,可以将目标文件反汇编为汇编代码,并提供高级的反汇编特性,使得分析者能够深入理解恶意软件的代码逻辑和执行流程。:IDA Pro的开发团队不断更新和改进软件,增加新的特性和改进现有功能,以满足用户对于逆向工程和恶意软件分析的不断变化的需求。
upx
最新发布
m0_62280492的博客
07-09 1685
介绍CTF比赛中常见的upx类型
Upx
大学二年级
09-28 903
UPX 是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。UPX 支持许多不同的可执行文件格式 :包含 Windows 95/98/ME/NT/2000/XP/CE 程序
实验四:使用UPX与脱
kelxLZ的博客
04-27 7062
实验四:使用UPX与脱 报告人姓名:苏煜程 学号:031803108 一、实验目的 了解程序加、脱原理 掌握PE文件结构 学习利用UPX Shell、LoardPEIDA等工具完成软件的加、脱操作 二、实验题目 UPX:对crackme加上UPX,用 LordPEPEiD 工具查看加前后的变化 UPX:用UPX Unpacker对已加的 crackme.exe 程序进行脱 手动脱:使用ESP定律和Ollydbg工具对crackme.exe进行手工脱 IDA
UPX较常用的压缩(共70多个版本)
08-30
UPX is a portable, extendable, high-performance executable packer for several different executable formats. It achieves an excellent compression ratio and offers **very** fast decompression. Your executables suffer no memory overhead or other drawbacks for most of the formats supported, because of in-place decompression.
UPX源码分析——加
wodafa的博客
02-23 6705
本文属于i春秋原创文章现金奖励计划,未经许可严禁转载。 0x00 前言 UPX作为一个跨平台的著名开源压缩,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,
攻防世界reverse新手区——simple-unpack(upx
m0_46357566的博客
07-18 1031
方法一:傻瓜式 下载文件,用记事本打开,按Ctrl+f打开搜索,输入flag,得到 去掉乱码即为flag 方法二…UPX 1.下载文件,拖进PEiD 不是有效的PE文件,就要怀疑是不是ELF文件了 2.再拖进exeinfope看 可以看到确实是ELF文件,然后是UPX 3.下载kali Linux系统镜像(官网),新建VMware虚拟机(其实用脱机就可以,还是想手脱试试看) ...
PE文件中脱技术的研究
08-30
4. **提取原始代码**:一旦确定了脱点,就可以从内存中提取出未加的代码,或者修改原始PE文件以跳过的执行流程。 #### 结论 脱技术是软件安全领域的重要组成部分,尤其是在对抗恶意软件时。通过对PE文件的...
2021-10-12T15_44_13.522866+00_00ARE_YOU_SDPD.zip
10-17
7. **二进制文件分析**:理解PE文件结构,识别导入表、导出表、资源等部分,寻找可能的入口点和关键函数。 8. **代码混淆**:如果代码被混淆,参赛者可能需要应对各种混淆技术,如控制流扁平化、字符串加密等,以...
UPX对Android上ELF加使用过程中的若干问题总结
beyond702的专栏
07-12 8135
下面内容部分摘录自:http://www.cnblogs.com/fishou/p/4202061.html 5、相关问题总结 5.1、编译UPX出现“cannot find -lz”错误。          分析:原因是链接器LD没有找到编译出来的zlib库libz.so或libz.a。          解决方法:将libz.so或libz.a拷贝到系统默认的动态链接库
UPX工具
04-22
专业去UPX机 对你们有用的哦
软件安全-UPX
写代码的小阿帆的博客
05-03 3073
的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 其原理是将可执行程序按照一定算法进行压缩,达到程序源代码的加密效果,执行时在先脱内存中解压缩,还原,再执行原程序部分。从而达到防修改与防反编译的效果,而因为源代码在磁盘中以压缩形式存储,虽然脱操作加重了CPU的负担,但减少了磁盘的读写,所以在大多数情况下还能提高程序运行速度;这种技术也常被应用到病毒免杀中,给病毒加后,杀毒软件往往很难识别。 也能提供一些保护功能,比如时间限制,使用次数和注册等。 UPX UPX (the Ultimat
入门(三)之UPX压缩
w_g3366的博客
08-07 444
入门(三)之UPX压缩 一、找OEP 查UPX、链接器版本2.25(可能是Delphi程序)、区段信息 根据ESP定律寻找OEP OEP定律原理:代码就像一个函数,进入时会开辟堆栈、保存寄存器环境,退出时会恢复堆 栈、恢复寄存器。所以应该是堆栈平衡的,那我们可以在代码操作了堆栈后对堆栈设置访问或写入断点,然后运行程序,当断点命中的时候,应该就是退出代码的时候。在其附近单步...
[脱]手脱UPX
輚至消亡
07-24 1397
0x00 简介 UPX是一种压缩器。经其加后的程序的PE结构如下: 其特点是加后除了资源的节,其他节区都不见了,转换成了UPX0和UPX1两个节区。并且UPX0节的磁盘文件大小变成了0。 实际上,UPX压缩器将这些节区压缩后放置于UPX1中,并且将压缩和解压代码也放到里面去。一旦该程序被加载运行,位于UPX1节的解压缩代码会释放原数据到UPX0中并且让PE正常运行。 0X01 硬...
手脱定制版的android SO UPX
云守护的专栏
10-28 2044
转自:https://bbs.pediy.com/thread-221997.htm 一 前言        加固厂商SO的加,一般都是采用UPX实现的。如果用原生的进行加,可以使用原生UPX进行脱。但是对于定制的UPX使用原生UPX是无法脱的。定制版的UPX一般有以下2种形式:            1  将里面的魔术字符串改掉。下图是UP
UPX绕过
Oops-re的博客
04-25 1024
一般市面上的查软件都是通过特征码进行识别的,虽然效率很高,但是 只要通过去除混淆特征码,那么就可以实现绕过查杀的目的。
android+so+upx,Android NDK UPX加固
06-03
您好!针对您的问题,我可以回答如下: UPX(Ultimate Packer for eXecutables)是一种广泛使用的可执行文件压缩工具,可以将可执行文件的大小减小到原始大小的50%以下。在Android开发中,UPX也可以用来加固so库,提高so库的安全性。 在使用UPX进行so库加固时,需要先下载UPX工具,然后使用命令行工具将so库进行压缩,最后将压缩后的so库替换原始的so库即可。下面是一个简单的示例命令: ``` upx --best libtest.so -o libtest_upx.so ``` 其中,`libtest.so`为原始的so库文件,`libtest_upx.so`为压缩后的so库文件。 需要注意的是,使用UPX进行so库加固可能会导致一些兼容性问题,因此需要进行充分的测试。此外,UPX并不能完全保证so库的安全性,因此还需要结合其他的加固手段,如加密、签名验证等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值