逆向破解程序脱壳篇-压缩壳

最新推荐文章于 2025-01-26 17:39:07 发布
最新推荐文章于 2025-01-26 17:39:07 发布
阅读量6.6k 收藏 37
点赞数 4
分类专栏: 我的逆向之路 文章标签: 什么是压缩壳,什么是加密壳 脱壳原理 4种脱壳方法及修复 各种语言OEP特征

一、普及

What?壳

所谓“壳”就是专门压缩的工具。

   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?

① 对程序专门进行压缩,以减小文件大小,方便传播和储存。

② 我这是一个商业的程序,是用来赚钱的,怎么可以被别人破解呢,那我就是加密保护壳(Safengine、VMprotect、winlicense、Themida)保护程序不被非法修改和反编译。

③ 其他(病毒、木马加壳,Anti-AntiVirus)

DO?

脱壳

就是把保护壳去掉更好的调试和破解能清楚看到代码

OEP

程序的入口点如果我们找到OEP我们就能快速脱壳就类似于找到钥匙就能开门

壳就是一把锁OEP就是锁孔

IAT

IAT就是指针脱壳的话可能要修复指针如果没有指针就相当于人只有一个身体没有灵魂

壳可能会对指针进行处理,修复输入表就是修复IAT

段首和段尾

段首,是上一段的结尾也是下一段的开头一段是以retn开始和retn结尾。我们经常听到在段首下断,所以我们要找的就是retn下面第一个push ,段首是以push开始滴,所以我们不会在retn那里下段而段尾我们是在retn处下断,因为软件的子程序是以retn返回到某一地方所以返回的时候要在retn出下断。

二、准备知识

ESP定律的原理就是“堆栈平衡”原理。

1、在命令行下断hresp-4(此时的ESP就是OD载入后当前显示的值)

2、hrESP(关键标志下一行代码所指示的ESP值(单步通过))

CALL

1.向堆栈中压入下一行程序的地址;

2.JMP到call的子程序地址处。

RETN

与call对应的就是RETN了。对于RETN我们可以这样来理解:

1.将当前的ESP中指向的地址出栈;

2.JMP到这个地址。

三、开始

工具:

①、peid
②、OD
③、DetectItEasy
④、LordPE
⑤、ImportREC

☆ esp定律

1.F8,观察OD右上角寄存器中ESP有没有实现(红色)

2.命令行下 DD ******(当前代码ESP值),回车

3.DD就选中下端地址,断点—硬件访问—DWORD断点,F9运行,到跳转处按F8 到OEP

1、PEID先看程序的壳

1.png

2ASPACK的壳子属于压缩壳的一种

2.png

3、用DetectItEasy V1.0看一下编译器为Delphi看一下delphi的oep

 3.png

4、之后,载入od

 4.png

5、选择是否都可以的

 5.png

这是带壳的.

6、f8单步往下走

 6.png

7、ESP和EIP都变成红色(实现)的时候,在ESP上右键下ESP断点

 7.png

8、下完断点,F9运行程序

 8.png

9、之后F8单步往下走,一直走

 9.png

10、到达OEP,右键-用OD脱壳调试进程

 10.png

 

11、复制红框里面的oep,(9C25C)之后关闭这个框,OD最小化

12、打开loadpe

 11.png

13、选择刚刚的程序进程–修复镜像大小-完全转存

 13.jpg

14、转存后打开会出现这样的结果

 14.png

15、然后再用ImportREC修复

 15.png

16、点选刚刚的进程

17、把之前复制的OEP放到1里面,按序号依次点击

16.png

18、修正转储刚刚导出的那个

18.png

19、脱壳完成…

之后放到原目录下运行即可

四、内存镜像法内存镜像法找oep

1.OD载入软件

2.点选项—调试选项—忽略全部—CTRL+F2重载

3.ALT+N打开内存镜像,找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点,再打开找到程序第一个.rsrc上面的.code处(就是00401000处),F2下断—SHIFT+F9或无异常按F9,到OEP

1、载入DO之后,alt+m

19.png

2、在程序的资源处下内存访问断点

 2222.png

3、返回程序按F9运行程序,也可以用快捷键SHIFT+F9运行程序

界面是这个样子的

 20.png

4、ALT+M返回,在代码段下内存访问断点

 21.png

5、SHIFT+F9运行程序

 22.png

单步跟踪法

1.OD载入,不分析代码。

2.近CALL—F7,远CALL—F8,实现向下的跳转。

3.有回跳处,下一句代码处—F4 (右键—代码断点运行到所选)

4.大的跳转(大跨段,JMP***或JE***或RETN),很快就会到OEP

最后一次异常

1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.

2.SHIFT+F9.只到程序运行,记下次数M

3.CTRL+F2重载—按SHIFT+F9(次数为M-1次)

4.按CTRL+G—输入OE右下角的SE句柄前的地址.

5.F2下断—SHIFT+F9到断点处.

6.去断按F8,到OEP.

6、直接到达OEP,按照之前的方法脱壳就可以了

7、用OD自带的插件即可脱壳

OEP大全

23.png

24.png

26.png

28.png

30.png

总结:

1、介绍了什么是压缩壳,什么是加密壳

2、脱壳原理

3、脱壳常用的工具

4、4种脱壳方法及修复

5、各种语言OEP特征

6、压缩壳这几种方法几乎够用了,如果出现冷门壳,用这些方法脱不掉,可以用之间说的打补丁的方法。

现在压缩壳都有很多自动脱壳机,但是加密壳呢?学习手工脱壳不是为了单纯去学怎么脱这一种壳,学习的是技巧,以后遇到其他的没有脱壳机的壳要尝试手工去脱,就像一个网站注入点,你可以用sqlmap去注入,如果有waf呢?Sqlmap脚本绕不过去呢?不还得靠手工去试,工具是死的,人是活的.


本文转载自

逆向破解程序脱壳篇-压缩壳 - FreeBuf专栏·i春秋学院

http://www.freebuf.com/column/143114.html
爬虫逆向脱壳工具反射大师的使用详解
数据知道的博客
03-06 2789
反射大师:一个脱壳插件工具,需要在 Xposed 环境中使用,支持市面上大多数加密壳。反射大师简单容易使用,能脱掉大多数壳,很值得使用功能:反射大师可以通过 Hook Android 系统的类加载机制,动态脱壳加固应用的 Dex 文件。反射大师是一款强大的 Android 应用脱壳工具,适合用于爬虫逆向工程。通过反射大师,可以轻松脱壳加固应用的 Dex 文件,并进一步分析其代码逻辑。结合 JADX、Apktool 等工具,可以深入分析目标应用的加密算法、API 接口和反爬虫机制。
逆向——脱壳
wk19951125的博客
05-06 896
逆向——脱壳有壳和无壳的区别壳的类型区别脱壳的关键寻找OEP寻找大跳转SFX功能定位OEP内存执行定位OEPESP定律VB程序快速定位OEP最后一次异常法定位OEP利用壳常用函数来定位OEP参考文献 #脱壳 有壳和无壳的区别 壳的类型 压缩壳 加密壳 虚拟机壳 区别 入口点改变 区段信息改变 代码段程序隐藏 加壳程序修改后无法保存 运行后,恢复的程序会将修改的内容覆盖 脱壳的关键 寻找OE...
自己的脱壳过程(SoftDefender)
潜心学习
07-20 1951
OEP的部分简略一点吧,主要是想写下这个IAT的修复,其实也没什么技术含量,因为技术菜,跟不出如何不让壳加密IAT,权衡之下只好用这个连自己也鄙视的笨办法了 Too eagerly want to unpack a powerful packer, however old one OEP到达方法: 一 用API监视工具查找CreateProcess的调用地址(当然也可以下硬件断点),然
乐见Safengine licensor终于有了脱壳脚本
stereohomology
06-07 7680
[原创] 公布过SafengineChallenge悬赏壳的脚本及OLLYDBG  [复制链接]     twogun     9 主题 2 好友 25 积分 Lv.3 精华 1 热心 4
逆向脱壳入门
壊壊的诱惑你的博客
05-21 1003
两个入门级的脱壳的CTF题目,记录一下。 一、逆向脱壳入门题目 1.nSpack壳 先用IDA打开看看: 可以看到有壳,而且解析出来的函数很少,对脱壳后的文件如下: 可以看到多出了很多函数。 用ESP定律进行脱壳,OD打开软件后如图: 可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ES...
逆向:初识脱壳
yan_star的博客
11-24 1877
逆向:初识脱壳
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2591
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP方法
Android逆向——脱壳解析
鸿蒙的技术博客
09-11 2204
壳”是一种对程序进行加密的程序,“壳”形象地表现了这个功能。我们可以把被加壳的程序当成食物,而加壳程序就是在外面加上一层坚硬的外壳,防止别人去窃取其中的程序。加壳后的程序依然可以被直接运行。在程序运行时壳的代码先运行,然后再运行原来的程序。主要目的是为了隐藏程序OEP(入口点),防止外部软件对程序的反汇编分析或动态分析。许多病毒通过加壳来达到免杀的目的,但壳也用在保护正版软件不被破解
黑客逆向破解基础-1:壳、加壳和脱壳分别是什么?加壳的解压原理介绍。
热门推荐
JankinChan的博客
04-27 1万+
一、壳的概念 壳的概念,在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了...
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2
05-27
UPX是大家熟悉的EXE/Dll资源压缩工具,也称作可执行文件压缩工具、可执行文件加壳脱壳器,该程序的缺点是只能使用命令控制台运行。 .................. Free UPX简称FUPX,是专门针对UPX开发的图形窗口界面程序,...
逆向破解万能脱壳工具.rar
03-31
逆向破解万能脱壳工具,常见壳都能自动脱
upx脱壳--用于upx类脱壳
02-05
"upx脱壳机"则是专门针对UPX压缩的程序设计的一款工具,旨在帮助用户剥离UPX外壳,恢复原始的未压缩代码。 在Windows环境下,"upx脱壳机"作为一个简单的脱壳工具,提供了用户友好的图形用户界面(GUI),使得操作...
吾爱技术吧vip高清视频课程脱壳
06-19
8.易语言伪装c++的程序脱壳 9.Enigma通用过注册 10.Armadillo3.xx-9.xx通用过注册 12.壳的附加数据的处理 13.手动查找ITA修复方法 14.Shielden 2.3.4 patch机器码并打补丁 15.Shielden 2.3.5 patch机器码并打补丁 ...
逆向基础——软件手动脱壳技术入门
weixin_34248118的博客
03-08 829
YHZX_2013 · 2015/09/07 14:06这里整合了一下之前自己学习软件手工脱壳的一些笔记和脱文,希望能给新学软件逆向脱壳的童鞋们一点帮助。1 一些概念1.1 加壳加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效...
逆向---脱壳技巧
peng05的博客
12-16 840
3.接着按下【Shift+F9】,然后再次按下【ALT+M】,再次来到了这个位置,我们在【00401000】处下一个【F2】断点。2.不要运行程序,直接按下【Alt+ M】 切换到以下模块,选择.rsrc资源,并下一个【F2】断点。1.OD载入程序,并打开【选项】-> 【调试选项】 -> 【异常】 -> 【忽略所有异常】。调试选项异常全部取消,【Shift+F9】定位到异常次数-1,看异常句柄单步调试。调试选项->SFX->字节方式跟踪,然后查看左下角信息提示进度。
X86逆向教程14:常见的脱壳手法
weixin_30505225的博客
07-15 239
本章节内容将介绍软件的脱壳技术。什么是加壳?加壳就是用来压缩或者保护软件不被非法修改破解的一种工具,而脱壳就是将已经加壳的程序从壳中剥离出来,既然能给程序进行加壳,那也就会有相应的脱壳方法,本节课我们将讲解几种常见的脱壳方法,让你能够应对一部分软件的加壳保护。 接下来我们将使用不同的方法来脱几个常见的壳(UPX,Aspack,FSG,PECompact) -------------------...
ctf逆向中的工具脱壳和手动脱壳
最新发布
2301_80313926的博客
01-26 3121
逆向脱壳小结
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值