手脱UPX壳的几种方法

最新推荐文章于 2024-05-01 12:15:00 发布
最新推荐文章于 2024-05-01 12:15:00 发布
阅读量1.4w 收藏 26
点赞数 5
分类专栏: 脱壳与壳的编写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyuai1234/article/details/51463501
版权

最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳

我们的流程是 PEID查壳

得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo

OD载入,提示为“压缩代码是否继续分析”,我们选择否

方法一:单步跟踪法

程序停在如下图的地方

F8单步向下运行,注意向上的跳转

遇到向上的箭头我们就在下一行 F4(运行到此处),注意,红色代表跳转实现,灰色代表没有实现,我们的目的就是不让他实现,灰色的我们就不用管,具体的说明一下:

0040E8D6    90              nop

0040E8D7    90              nop

0040E8D8    8A06            mov al,byte ptr ds:[esi]

0040E8DA    46              inc esi

0040E8DB    8807            mov byte ptr ds:[edi],al

0040E8DD    47              inc edi

0040E8DE    01DB            add ebx,ebx

0040E8E0    75 07           jnz short UPX.0040E8E9

0040E8E2    8B1E            mov ebx,dword ptr ds:[esi]

0040E8E4    83EE FC         sub esi,-0x4

0040E8E7    11DB            adc ebx,ebx

0040E8E9  ^ 72 ED           jb short UPX.0040E8D8                   //这里要往回跳,跳到0040E8D8处

0040E8EB    B8 01000000     mov eax,0x1                               //F4,继续F8

0040E8F0    01DB            add ebx,ebx

0040E8F2    75 07           jnz short UPX.0040E8FB


我们一路向下运行,发现出现了如下的代码

两个向上的跳转,下面为NOP语句,我的处理办法是在NOP下一行代码 下F4,因为NOP为空,没有数据。同样的方法我们继续F8单步运行。

当然了,程序中有许多类似的向上跳转,我就不一一叙述,当F8单步运行到一段时间后,你可能就会遇见这样的情况

重点说明一下:

0040E9F4     F2:AE         repne scas byte ptr es:[edi]
0040E9F6     55            push ebp
0040E9F7     FF96 A4EC0000 call dword ptr ds:[esi+ECA4]
0040E9FD     09C0          or eax,eax
0040E9FF     74 07         je short NOTEPAD.0040EA08
0040EA01     8903          mov dword ptr ds:[ebx],eax
0040EA03     83C3 04       add ebx,4
0040EA06   ^ EB E1         jmp short NOTEPAD.0040E9E9                         //要往回跳了
0040EA08     FF96 A8EC0000 call dword ptr ds:[esi+ECA8]                //关于这个call,不同的程序不一样,我的跑飞了,再次运行时我直接跳过了
0040EA0E     61            popad                                                                    //这里F4,继续F8
0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC                           //在这里直接跳到了OEP

在脱壳的时候。我们要注意popad这个指令,它的出现标志着我们的程序可能到达OEP


我们到达OEP了,然后使用OD自带的脱壳工具进行脱壳


方法二:ESP定律手动脱壳

F8单步运行,发现右边的寄存器ESP处变红,说明此处可以进行ESP定律

dd 0012FFA4回车, 断点--硬件访问--WORD,F9运行,直接来到这里



0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC                     //来到这 单步就到了OEP

脱壳步骤和上面一样

方法三:内存镜像法

ALT+M打开内存
找到.rsrc,F2下断,F9运行

ALT+M打开内存

找到UPX0,F2下断,F9运行


出现如下图所示

说明一下:


0040EA01     8903          mov dword ptr ds:[ebx],eax                    //来到这,F8继续

0040EA03     83C3 04       add ebx,4

0040EA06   ^ EB E1         jmp short NOTEPAD.0040E9E9

0040EA08     FF96 A8EC0000 call dword ptr ds:[esi+ECA8]

0040EA0E     61            popad                                                        //即将到达oep

0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC


最后一种办法:    秒到oep法

直接CTRL+F,输入popad



0040EA0E     61            popad                                                //F2下断,F9运行,F2取消断点,单步F8
0040EA0F   - E9 B826FFFF    jmp NOTEPAD.004010CC

单步向下,最后到达了OEP

最后特别的提醒一下,我们发现jmp是一个很大的跳转,遇到大的跳转我们就要留意


可能不只这几个方法,常用的脱壳方法共计大概7种左右,只是针对UPX的壳目前这几种最好用,欢迎大家来探讨


















nyist小王子
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动脱教程 第一课.手脱UPX的四种方法
10-13
手脱UPX的四种方法",是为初学者设计的,旨在帮助他们了解如何对使用UPX的程序进行手动脱操作。 首先,我们要理解什么是。在计算机安全术语中,是一种用于保护程序代码的技术,特别是恶意软件,以避免被反...
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱
weixin_30517001的博客
08-22 934
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo这个很容易脱。当然,手动只是查找到脱的位置,然后用OD的插件即可脱了。下面举个CrackMes的实例,看下如何脱这个,使用的依旧是ESP定律的方法找OEP,程序入口点。(1)OD载入程序,会提示压缩或是加密或是嵌入程序等提示,问...
170624 逆向-失败的脱
whklhhhh的博客
06-25 637
1625-5 王子昂 总结《2017年6月24日》 【连续第265天总结】 A. 脱前瞻 B. 明天考试于是基本都在复习高数 拽了一个?难度的CrackMe试试,拖入PEiD发现第一次遇到 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d
PyInstaller和UPX:让你的Python应用程序在发布时更小更快!
最新发布
2401_84204413的博客
05-01 598
在开发中,我们经常需要将我们的代码打包成可执行文件,以便在不同的操作系统上运行。是一个非常流行的工具,可以将Python代码打包成独立的可执行文件。而是一个开源的可执行文件压缩工具,可以减小可执行文件的大小。本文将介绍如何使用和一起打包Python应用程序,以便在发布时减小文件大小。为了能够使exe应用打包时的大小达到最优状态,我们还需要使用来创建独立的虚拟环境从而可以引入更少的模块。在使用pyinstaller打包的过程中仔细的小伙伴会发现经常出现的错误,其实这就是未安装的原因。在正常安装了的情况下,通过
upx命令行脱
m0_74148881的博客
07-28 2314
try upx.exe -d
upx教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 2353
逆向常见的upx,如何手脱,怎么去手脱upx
upx(最简单方法之一)
2301_80820096的博客
04-13 1142
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱即可)首先拖入到od中,找到程序的入口点。首先使用快速脱方法
简单的UPX记事本 入门练手
12-01
一个简单的加了UPX的记事本。 一个简单的加了UPX的记事本。
UPX变形&去校验
06-10
UPX-Scrambler RC1.x -> ㎡nT畂L+去校验 这是一款UPX的变形,但是,还是那么弱。。。 目标程序:一后门木马服务端,Hiddukel VII.exe
UPX Shell 最好的UPX程序-易语言
06-13
总之,UPX Shell作为一个易语言专用的UPX程序,为开发者提供了一种简便的方式来压缩和优化他们的程序,提高了软件的分发效率,同时也降低了用户的使用难度,是编程辅助工具中的一个实用选择。
UPX加解工具,UPX,UPX
08-13
UPX(Ultimate Packer for eXecutables)是一种著名的开源、免费的可执行文件压缩工具,广泛应用于Windows平台的程序加UPX能够显著减小可执行文件的大小,通过压缩代码和数据,提高程序的加载速度,同时提供了...
手动UPX演示
qq_41426887的博客
07-03 7012
首先,用PEid打开加后的程序CrackmeUPX.exe,可以发现使用的是UPXUPX是一种比较简单的压缩,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
upx手动脱
qq_36963214的博客
10-26 6792
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加 upx src.exe -o dst.exe命令将src.exe加并另存为dst.exe upx手动脱
upx手动脱(esp定律手动脱
__ys的博客
06-02 1322
ESP定律手动脱 拿到有upx的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方法: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
UPX单步脱
qq_49341576的博客
12-06 1297
使用OD脱UPX
Reverse | 使用UPX对软件进行加
qq_42646885的博客
07-23 1153
题目描述: 主机C:\Reverse\6目录下有一个CrackMe6.exe程序,这个程序是使用upx程序加过的,请尝试对其进行手工脱,并编写详细的分析报告。要求脱后的程序可以正常运行。 实验步骤: 1、观察程序的外部特征 运行C:\Reverse\6\CrackMe6.exe程序,提示需要对该程序进行脱处理: 使用PEiD载入程序,查看CrackM...
笔记-手工脱UPX压缩
走在成长的路上
01-03 1451
upx的手工脱学习笔记
upx3.94手动脱
海阔天空
07-15 5074
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx,使用ESP定...
upx1一键脱工具
07-31
UPX1一键脱工具是一种能够自动解压缩使用了UPX1的可执行文件的工具。UPX1是一种常用的文件压缩工具,它能够显著减小可执行文件的体积,使其在传输和存储时更加高效。 使用UPX1一键脱工具可以方便地将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值