手脱UPX的几种方法

最新推荐文章于 2023-11-24 15:11:04 发布
最新推荐文章于 2023-11-24 15:11:04 发布
阅读量437 收藏
点赞数
分类专栏: 汇编 文章标签: c byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yytec/article/details/5903203
版权

第一种:

1.OD载入后

0040CDD0 > $  60            PUSHAD
0040CDD1   .  BE 00B04000   MOV ESI,工程1.0040B000
0040CDD6   .  8DBE 0060FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF6000] 

2.F8向下,遇到向上的跳转就F4强行向下

0040CDF2   > /8B1E          MOV EBX,DWORD PTR DS:[ESI]
0040CDF4   .  83EE FC       SUB ESI,-4
0040CDF7   .  11DB          ADC EBX,EBX
0040CDF9   >^ 72 ED         JB SHORT 工程1.0040CDE8  //F4向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CE56   .  11DB          ADC EBX,EBX
0040CE58   >  11C9          ADC ECX,ECX
0040CE5A   .  01DB          ADD EBX,EBX
0040CE5C   .^ 73 EF         JNB SHORT 工程1.0040CE4D  //F4向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CE82   .  47            INC EDI
0040CE83   .  49            DEC ECX
0040CE84   .^ 75 F7         JNZ SHORT 工程1.0040CE7D  //运行到这里停下,按向下箭头到0040CE8C,按下F4
0040CE86   .^ E9 63FFFFFF   JMP 工程1.0040CDEE
0040CE8B      90            NOP
0040CE8C   >  8B02          MOV EAX,DWORD PTR DS:[EDX]  //在此处按F4强行运行到此处

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CE96   .  83E9 04       SUB ECX,4
0040CE99   .^ 77 F1         JA SHORT 工程1.0040CE8C
0040CE9B   .  01CF          ADD EDI,ECX
0040CE9D   .^ E9 4CFFFFFF   JMP 工程1.0040CDEE  //F4向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CEAF   > /3C 01         CMP AL,1
0040CEB1   .^|77 F7         JA SHORT 工程1.0040CEAA //F4向下
0040CEB3   . |803F 02       CMP BYTE PTR DS:[EDI],2
0040CEB6   .^|75 F2         JNZ SHORT 工程1.0040CEAA
0040CEB8   . |8B07          MOV EAX,DWORD PTR DS:[EDI]  //F4向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CECF   .  83C7 05       ADD EDI,5
0040CED2   .  88D8          MOV AL,BL
0040CED4   .^ E2 D9         LOOPD SHORT 工程1.0040CEAF  //F4向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CEDC   > /8B07          MOV EAX,DWORD PTR DS:[EDI]
0040CEDE   . |09C0          OR EAX,EAX
0040CEE0   . |74 45         JE SHORT 工程1.0040CF27  //此处按Enter键跟随

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CF27   > /8BAE 28CA0000 MOV EBP,DWORD PTR DS:[ESI+CA28]  //跟随到这里,按下F4强行运行到此处,F8向下

0040CF2D   .  8DBE 00F0FFFF LEA EDI,DWORD PTR DS:[ESI-1000]
0040CF33   .  BB 00100000   MOV EBX,1000

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040CF5B   > /6A 00         PUSH 0
0040CF5D   . |39C4          CMP ESP,EAX
0040CF5F   .^/75 FA         JNZ SHORT 工程1.0040CF5B  //F4向下
0040CF61   .  83EC 80       SUB ESP,-80
0040CF64   .- E9 5B44FFFF   JMP 工程1.004013C4 //此处跳转到程序OEP

0040CF69      00            DB 00
0040CF6A      00            DB 00
0040CF6B      00            DB 00
0040CF6C      00            DB 00
0040CF6D      00            DB 00
0040CF6E      00            DB 00
0040CF6F      00            DB 00
0040CF70      00            DB 00
0040CF71      00            DB 00
0040CF72      00            DB 00
0040CF73      00            DB 00
0040CF74      00            DB 00

第二种:

1.OD载入,代码如下:

0040CDD0 > $  60            PUSHAD
0040CDD1   .  BE 00B04000   MOV ESI,工程1.0040B000    //F8运行到这里,看寄存器中的值,如图 

2.数据窗口中跟随ESP寄存器中的值,并且下一个硬件断点,Shift+F9运行,断在如下代码处

0040CF57   .  8D4424 80     LEA EAX,DWORD PTR SS:[ESP-80]
0040CF5B   >  6A 00         PUSH 0
0040CF5D   .  39C4          CMP ESP,EAX
0040CF5F   .^ 75 FA         JNZ SHORT 工程1.0040CF5B
0040CF61   .  83EC 80       SUB ESP,-80
0040CF64   .- E9 5B44FFFF   JMP 工程1.004013C4  //此处跳转到程序OEP

 

月下孤笔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
脱壳笔记-手工脱UPX压缩壳
走在成长的路上
01-03 1459
upx壳的手工脱壳学习笔记
RE入门之脱壳——手脱UPX
weixin_45986910的博客
08-14 3200
很多加了壳的软件是很难逆向分析的,需要手脱。下面以UPX壳为例简单介绍一下如何手动脱壳 需要工具:x64dbg。 拿到程序以后使用x64dbg打开。
脱壳(初学)-- 手脱UPX壳及一点疑问
keweidong888的专栏
03-21 1426
初学脱壳破解,趁热动手实践,提上几个作为菜鸟的疑问,希望大神们指导
手脱UPX壳实战
junehappylove(王俊伟)的专栏
07-12 1222
速脱UPX壳 工具:OD(201版), PEiD v0.95,ImportREC v1.7, KMS10.exe(目标PE) 调试系统:WinXP 目标系统:Win10 步骤一:查壳 步骤二:加载程序,寻找OEP(使用ESP定律法,快速定位OEP) 这里说一下,我用的OD2.0.1版,对于upx这样简单的壳,直接就分析出了OEP的位置了,如下: 稍微等待一段时间(这个跟OD的配置有关,后面...
第34章-手脱UPX,修复IAT1
08-03
在本章中,我们将深入探讨如何手动解除 UPX 壳并修复程序的输入地址表(IAT)。首先,我们要理解为什么需要手动修复 IAT。IAT 是 Windows 程序加载时,操作系统用于存储外部 DLL 函数入口点的表。当程序被加壳后,如...
简单的UPX壳记事本 入门练手
12-01
一个简单的加了UPX壳的记事本。 一个简单的加了UPX壳的记事本。
一款专用脱upx脱壳工具
06-10
标题提到的“一款专用脱upx脱壳工具”是指用于解除UPX壳的软件,它专门设计用来处理那些标准的UPX命令如`upx -d`无法正常脱壳的情况。这通常发生在UPX壳被修改或加密,使得原始的解壳命令无法识别的情况下。 描述中...
UPX加壳器
08-21
UPX加壳器系统结构:UPX加壳器======窗口程序集1||||------_按钮1_被单击||||------__启动窗口_创建完毕||||------_拖放对象1_得到文件||||------__启动窗口_将被销毁||||------_按钮2_被单击||||------_选择
手脱UPX方法介绍
biao197的专栏
07-30 1218
方法1:单步跟踪 F8单步跟踪,向上不能让他跳,有loopd循环也一样(跳转的下一行按F4:运行到选定位置,循环loopd在call下一句F4执行) 只允许向下跳,如单步跟踪CALL处程序运行,则需要重载程序,再CALL处F7跟进(近CALL F7,远CALL F8) pushad 入栈 popad:出栈 出栈就离OEP不远了 看基址如有大的跳转则为调到O...
手动脱UPX壳的几种方法
十年磨一剑,霜刃未曾试!
05-05 5278
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法。1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置。要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到壳的循环当中,就出不来了。运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret。跳转之后的代码是popad,一般就是到
手脱UPX壳的几种方法
热门推荐
xiaoyuai1234的博客
05-20 1万+
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
逆向入门-脱壳学习第一课-手脱upx
qq_40712579的博客
03-25 687
首先使用peid查壳 可以看见壳为UPX 然后打开od。 使用单步跟踪法。(只允许向下的跳转,不允许向上的跳转) 点击单步运行,单步向下调试。 如果遇见向上的跳转,就在其下方使用f4设置断点,然后接着运行, (注意:如果此时下方为call代码,就在call代码的下方再设置断点。) 之后,跳到如图所示,为push ebp,即找到入口段 接下来便可以开始脱壳了,三种方法:...
通过手动给upx去壳简单了解逆向
A_991128a的博客
08-27 2469
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
对于UPX脱壳的解决
qq_54894802的博客
01-01 3301
因此根据这个原理,我们可以在堆栈处,设置访问断点,让程序运行,当程序暂停的时候,就是壳程序即将执行完的时候,然后在其附近单步跟踪就可以找到原始OEP了。通过这两到题,我们大致可以发现,upx脱壳,就是去寻找可疑点,jmp,或者ret,因为壳是一个程序,因此我们脱壳就是要其运行完成的结果,所以我们在脱壳过程中总是要跳到ret,也就是这个原因。对于脱一般的程序壳的时候,我主要用的是ida来脱壳,一般ida实在脱不了了再想到用od来脱,od,,所以我记录的大多都是用的ida来脱的。然后运行,寻找可疑点。
IDA脱Linux下upx
u014715599的博客
01-04 2014
背景 近日,在应急分析木马时发现加了upx壳,直接用linux下upx -d 脱壳不成功,在网上查找时发现没有针对IDA远程脱linux下upx壳的的详细文章,这里就详细写了一下具体过程,文章结尾有用到的加壳样本链接以便于自己尝试。 环境要求 1.IDA 7.0 2.ubuntu 32 PS:小白文,只讲怎么快速脱壳,原理部分自查。 一、脱壳前题 1.认识upx壳      入口特...
手脱upx壳的一次探讨
m0_75098930的博客
03-27 222
三,(可能会随着环境的不同而不同)程序的dll和exe两部分,姑且让我这么说,有非常明显的特征,exe是让人赏心悦目的401000左右,dll地址非常大,但是用途不大,其中有一个回调,但不是tls,在这个回调之后单步进入才能找到真正代码段,因为helloworld非常短,接下来就是简单的找push ebp过程了。有师傅问我如何手动脱壳,虽然手脱过几个exe,但我以前一直没有仔细研究过手动脱壳,一直以来都是简单的找push ebp mov ebp,esp。今天做几个简单的讨论。本人小白,请各位师傅斧正。
upx手动脱壳学习笔记
最新发布
sirrior的博客
11-24 1537
2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。
upx脱壳教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 2379
逆向常见的upx壳,如何手脱壳,怎么去手脱upx
UPX
05-31
UPX 是一款开源的可执行文件压缩工具,它可以将可执行文件的大小压缩到最小,从而减少程序的存储空间和下载时间。UPX 支持多种操作系统和处理器架构,包括 Windows、Linux、macOS 等,并且可以对常见的可执行文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值