PE文件+UPX壳 ida分析

已于 2023-05-13 21:01:04 修改
阅读量386 收藏 2
点赞数 1
分类专栏: 取证 文章标签: 网络 网络安全
于 2023-05-13 20:12:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wow0524/article/details/130661686
版权

die查壳发现是UPX壳,直接用ida分析,会发现能分析出来的信息特别少,需要脱壳

工具链接发布 ·UPX/UPX (github.com)

 下载压缩包后解压,直接在该文件路径下cmd,输入upx.exe -h安装完成,使用命令“upx -d +文件路径”进行脱壳

脱壳成功,再扫一下,没壳了

 之后再次分析,数据就出来了

五五六六0524
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
UPX自动脱工具(2019测试成功)
04-09
UPX自动脱工具(2019测试成功),全自动脱,对于不会用OD的朋友,非常有用。
利用IDA Pro反编译破解.exe
热门推荐
gengyiping18的专栏
03-12 1万+
参考文章:http://www.cnblogs.com/vento/archive/2013/02/09/2909579.html
PE文件UPX算法的实现
06-23
PE是Portable Excutable的缩写,指“可移植可执行”文件,是32 位 Windows操作系统可执行文件的标准格式。在计算机安全领域中PE文件如果被修改或者被反编译,都会使计算机产生安全隐患或者使软件的核心技术被窃取,所以保护PE文件不被修改是一件很重要的工作,当前通常采用加的方法对PE文件进行保护,这其中UPX是具有代表性的压缩类外。 本文首先对PE文件格式进行了全面细致的研究,PE文件的头部结构对可执行文件进行了整体描述,是加工作的重要信息来源。接下来本文还分析了外的加载流程以及UPX的加流程,外的加载流程具有普遍规律,掌握外的加载流程是理解外的工作机制以及编写加程序的基础。最后针对UPX采用动态脱设计方案,进行UPX动态脱算法的设计与实现,动态脱设计思路以外程序在内存中还原出原文件为突破口,将加文件载入内存使其自行脱,并抓取内存映像,完成原文件的构造。相比于静态设计方案,动态脱设计方案具有更强的通用性。
易语言UPX源码,易语言文件图标提取工具源码,易语言UPX
08-22
易语言UPX器原理源码系统结构:取短路径,取控制台程序返回,CreateProcess,CreatePipe,ReadFile,WriteFile,CloseHandle,PeekNamedPipe,GetExitCodeProcess,GetShortPathNameA, ======窗口程序集1 || ||------__启动窗口
UPX原码~供大家参考
05-31
UPX原码~和大家一块研究,支持.exe.Dll.ocx.atx都多种格式文件
对于UPX的解决
qq_54894802的博客
01-01 2971
因此根据这个原理,我们可以在堆栈处,设置访问断点,让程序运行,当程序暂停的时候,就是程序即将执行完的时候,然后在其附近单步跟踪就可以找到原始OEP了。通过这两到题,我们大致可以发现,upx,就是去寻找可疑点,jmp,或者ret,因为是一个程序,因此我们脱就是要其运行完成的结果,所以我们在脱过程中总是要跳到ret,也就是这个原因。对于脱一般的程序的时候,我主要用的是ida来脱,一般ida实在脱不了了再想到用od来脱,od,,所以我记录的大多都是用的ida来脱的。然后运行,寻找可疑点。
2020.12.07
wind_sail的博客
12-11 110
实验室每日一题 2020.12.07 先用pe工具检查程序有没有加,发现有upx: 用工具脱(没有的话百度上下载个upx然后配置下环境变量就能用了): 然后把程序丢进ida里面,开始逆向。因为内容比较多,先搜索字符串,发现了这两段话: 先看第一个,刚开始看着感觉像16进制,后来发现不对,然后用base16解码可以得到一个蓝奏云链接,但是需要密码,密码就是第二张图上的钥匙。下载可得到一个word文档。打开后先查看隐藏文字,发现末尾有一串空白,将字体颜色改为黑色可以得到: 把中文逗号改为1,英文
PE结构详解(加必备知识)
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
程序加与脱
qq_43082315的博客
10-07 1177
程序加与脱原理
LevelDB 源码分析
zhipingxi的博客
10-09 2139
本文基于leveldb 1.9.0代码。 整体架构 如上图,leveldb的数据存储在内存以及磁盘上,其中: memtable:存储在内存中的数据,使用skiplist实现。 immutable memtable:与memtable一样,只不过这个memtable不能再进行修改,会将其中的数据落盘到level 0的sstable中。 多层sstable:leveldb使用多个层次来存储sstable文件,这些文件分布在磁盘上,这些文件都是根据键值有序排列的,其中0级的sstable的键值可能会
UPX加解工具,UPX,UPX
08-13
UPX工具,可以针对指定资源进行UPX和加和解,压缩比例非常大,适合软件加
Ubuntu14.04+UPX3.92编译过程及相关源码与错误处理方法
10-21
学习so加upx中碰到的一些问题,此资源将相关源码资源进行打包,并对一些编译过程中的碰到的一些错误进行集合并给出错误解决的文档
2021-10-02PE文件学习
qq_45290991的博客
10-02 518
PE文件学习 推荐工具:lord PE、stud PEPE权威指南》,了解格式,看雪,吾爱破解 ,EXE是如何组成的,如何逆向一个EXE文件和安卓文件。 这些东西不能不知道 EXE文件和DLL文件实际上是一样的,唯一的区别就是用一个字段标示出了这个文件是EXE文件还是DLL文件 64位不过就是把32位的字段拓展成64位,也叫PE32+文件,没本质区别。 PE文件的定义基本都在“我的电脑”——下的“winnt.h”头文件中。 而在这个“winnt.h”文件中的image format下就是系
简单的PE文件设计与验证
weixin_43908728的博客
11-07 623
简单的PE文件设计与验证 date: 2020 /11/6 Mission: 实现简单的跳转,在PE文件中添加新节,在新节其中加入跳转至原入口的指令,实现对原程序的启动。 实现PE文件加密,对原程序代码节内容异或运算,在原程序中加入新节实现对原代码节内容解密并启动运行。 Misson Source:CQU Source Code 测试使用的asm代码 .386 .model flat,stdcall option casemap:none include windows.inc include u
实验四:使用UPX与脱
kelxLZ的博客
04-27 6225
实验四:使用UPX与脱 报告人姓名:苏煜程 学号:031803108 一、实验目的 了解程序加、脱原理 掌握PE文件结构 学习利用UPX Shell、LoardPEIDA等工具完成软件的加、脱操作 二、实验题目 UPX:对crackme加上UPX,用 LordPEPEiD 工具查看加前后的变化 UPX:用UPX Unpacker对已加的 crackme.exe 程序进行脱 手动脱:使用ESP定律和Ollydbg工具对crackme.exe进行手工脱 IDA
IDA脱Linux下upx
u014715599的博客
01-04 1953
背景 近日,在应急分析木马时发现加了upx,直接用linux下upx -d 脱不成功,在网上查找时发现没有针对IDA远程脱linux下upx的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加样本链接以便于自己尝试。 环境要求 1.IDA 7.0 2.ubuntu 32 PS:小白文,只讲怎么快速脱,原理部分自查。 一、脱前题 1.认识upx      入口特...
Windows_Reverse2
XFox_的博客
10-10 176
Windows_Reverse2 要求输入code 查工具查,ASPack再进行脱IDA打开查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char Buffer; // [esp+8h] [ebp-C04h] BYREF char v5[1023]; // [esp+9h] [ebp-C03h] BYREF char v6; // [esp+408h] [ebp-804h] B
TCP相关问题总结
最新发布
qq_62835094的博客
04-23 1082
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
android+so+upx,Android NDK UPX加固
06-03
您好!针对您的问题,我可以回答如下: UPX(Ultimate Packer for eXecutables)是一种广泛使用的可执行文件压缩工具,可以将可执行文件的大小减小到原始大小的50%以下。在Android开发中,UPX也可以用来加固so库,提高so库的安全性。 在使用UPX进行so库加固时,需要先下载UPX工具,然后使用命令行工具将so库进行压缩,最后将压缩后的so库替换原始的so库即可。下面是一个简单的示例命令: ``` upx --best libtest.so -o libtest_upx.so ``` 其中,`libtest.so`为原始的so库文件,`libtest_upx.so`为压缩后的so库文件。 需要注意的是,使用UPX进行so库加固可能会导致一些兼容性问题,因此需要进行充分的测试。此外,UPX并不能完全保证so库的安全性,因此还需要结合其他的加固手段,如加密、签名验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值