《逆向工程核心原理》学习笔记7 UPack加壳

最新推荐文章于 2022-04-15 00:27:07 发布
最新推荐文章于 2022-04-15 00:27:07 发布
阅读量1.2k 收藏 6
点赞数 4
文章标签: 信息安全 反汇编 底层应用开发 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzaxiloveyou/article/details/104570595
版权
本文是《逆向工程核心原理》学习笔记第七篇,详细介绍了UPack加壳原理,包括如何使用UPack对程序加壳,通过PEviewer和stud_PE分析加壳后的文件结构,探讨了UPack如何重叠PE头和节区,以及在加壳后如何进行RVA到RAW的转换和导入表的解析。
摘要由CSDN通过智能技术生成

《逆向工程核心原理》学习笔记7

UPack加壳

(好久没更了orz)

UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意)

首先要下载UPack,下载链接在这
https://download.csdn.net/download/windyduy/10908118
首先声明,这不是我发的资源,我在此感谢这位发资源的大哥orz
(没有广告费)

下载以后,将要加壳的软件放在upack.exe所在的目录下(以notepad.exe为例),打开cmd,进入目录,然后输入以下命令行

upack notepad.exe

然后notepad.exe就被upack加了壳

于是我们尝试用PEviewer去打开加壳后的记事本,发现PEviewer似乎只识别了该文件的header部分,而且似乎很混乱,因此,我们使用stud_PE这个程序去看加壳后的文件,下载地址如下
https://download.csdn.net/download/yxnamespace/470359
同样,这也不是我上传的资源,同样感谢这位大哥orz

感动中国
然后我们在stud_PE中打开notepad.exe
出现如下的窗口

有一说一,这个界面挺好的,左边是PE头当中非常关键的一些成员已经把值都列出来了,而且也会表明RVA和RAW的情况,就不用像以前那样在HxD里慢慢数着找了

最低0.47元/天 解锁文章
EloflyS
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
逆向工程核心原理》第14.15章——运行时压缩、调试UPX压缩的notepad.ex程序
diamond_biu的博客
12-14 626
运行时压缩数据压缩运行时压缩器压缩器保护器运行时压缩测试——notepad.exe为例比较notepad.exe与notepad_upx.exe文件调试UPX压缩的notepad.exe程序notepad.exe的EP代码 数据压缩 无损压缩(Lossless Data Compression):压缩的文件能够100%恢复。如Run-Length、Lempel-Ziv、Huffman。 有损压缩(Loss Data Compression):压缩的文件不能恢复原状,会损失一定信息,常用于多媒体文件。 运
逆向工程核心原理
weixin_33751566的博客
08-14 425
致亲爱的中国读者: 大家好 !我是《逆向工程核心原理》 作者 李承远(ReverseCore)。 (韩文博客地址:www.reversecore.com) 首先,很高兴我的《逆向工程核心原理》-书在中国IT强国出版。我以前是C/C++开发工程师,后来有机会加入安全公司并从事恶意代码分析工作,从此开始对逆向技术进行深入研究。熟悉逆向技术就能轻松了解程序内部结构,这让我逐渐沉醉于逆向技术...
手动脱WinUpack 壳实战
weixin_33774308的博客
08-16 146
作者:Fly2015 吾爱破解培训第一课选修作业第6个练习演示样例程序。不得不反复那句话,没见过这样的壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些。特别是IAT表的修复问题上。   首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理。 OD加载加WinUpack 壳的程序进行动态调试分析。加壳程序入口点反汇编快照。 想都不...
Python库 | upack-0.0.2.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:upack-0.0.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
PEiD(侦测未知壳加强版)
07-27
此外,逆向工程师也可以利用查壳工具来研究软件的保护机制,这对于软件调试、学习编程技巧和逆向工程实践具有重要意义。 **未知壳侦测的挑战与方法** 侦测未知壳是一项更具挑战性的任务,因为这意味着PEiD需要识别...
Stud_PE PE分析工具
01-30
特别是面对UPack这样的加壳技术,Stud_PE能有效地剥离壳层,展示被加壳程序的原始PE头信息,这对于逆向工程和恶意软件分析来说极其关键。 首先,Stud_PE的界面直观且操作简便,用户可以通过菜单栏和工具栏轻松访问...
逆向工程核心原理1--HelloWorld
qq_40535097的博客
07-29 2302
最终,我做了这个决定,开始学习游戏安全 逆向工程核心原理1-HelloWorld 逆向分析 HelloWorld 程序 #include <iostream> #include <Windows.h> int main() { MessageBox(NULL, L"HelloWorld1", L"HelloWorld2", MB_OK); } 注:此处需要在Rel...
WinUpack 0.39汉英
03-08
WinUpack 0.39汉英,加壳的好工具,属于压缩壳的一种方法,这是最后的一个版本,然后再没更新了。
winupack
01-04
winupack
UPX和WinUpack压缩壳的使用和脱法 - 脱壳篇06
weixin_33860147的博客
08-30 260
UPX和WinUpack压缩壳的使用和脱法- 脱壳篇06 让编程改变世界 Change the world by program 今天小甲鱼给大家介绍两款压缩壳:UPX和WinUpack。 UPX是时下最流行的压缩壳之一,因为它的压缩效率和稳定性都是比较不错的,另外一点呢他是开源的,小甲鱼在这节课的源代码下载处,提供了UPX的源代码给大家研究一下,它是用C++写成的。 .....
逆向工程核心原理 小结
逆向工程核心原理 学习小结
05-21 1954
首先,先说明我在阅读和动手过程中的第一个问题。1.如果要跟着书上的过程进行调试,并且你是用的是VS,那么建议你关闭C/C++优化。因为优化后的.exe会省略很多细节,不利于小白进行分析。具体关闭细节如下:在解决方案资源管理器中选中项目名称,——》右键点击“”属性“”选择“”C/C++“”选择优化关闭即可,再次运行调试,并用ollydbg调试即可。...
逆向工程核心原理学习笔记6 运行时压缩
EloflyS的博客
02-22 270
逆向工程核心原理学习笔记6 运行时压缩 一、压缩文件十分常见,只要通过一定的压缩算法,就能缩减文件的大小。 二、而运行时压缩是针对PE可执行文件而言的,和普通压缩器相比,运行时压缩器的明显不同是“PE文件的可执行性”。 三、常见的压缩器有:UPX,ASPack等 四、保护器:1.保护PE文件免受代码逆向分析的实用工具。 2.目的:防止破解,保护代码和资源 3.使用现状:常用于在线游戏的保护 4...
Upack0.31 脱壳小试,附详细过程
sandikast的专栏
01-14 3326
一、Upack加壳 Upack作为一种保护壳,独特的PE格式混淆与压缩是很让人惊叹的,很多PE分析器与自动脱壳软件脚本都被干掉了,dwing大神对PE装载器的理解之深入让人不得不佩服得五体投地。 作为测试,先用一个自己写的C#小程序作为加壳对象进行加壳: PEiD检测结果如下: 用百度到的第一个Upack0.31版本对原程序加壳加壳后的程序PEID检测如下:
逆向工程核心原理》第18章----分析Upack
qq_55785697的博客
04-08 267
Upack的PE形式乍一看和规范相去甚远,实际上每一处都是精心设计的,在混淆人工分析的同时完美符合PE规范。主要是采取了以下多种手段。 一、重叠PE文件头 MZ文件头中对程序运行有用的只有标志位和偏移03C处NT映像头的起始位置,其余地方都是无影响可随意填充其他内容;依此可将NT映像头与MZ文件头重叠。 二、修改结构长度扩充空余空间 1.在IMAGE_FILE_HEADER结构中,SizeofOptionHeader这个参数代表可选头的大小,由于在PE32中大小是固定的E0,所以当参数大小超过E0时
恶意软件分析实战15-UPack脱壳Lab18-5
輚至消亡
09-27 324
拖入PIED分析, 发现加了UPack壳 拖入OD内显示如下,不停的单步往下跳 如果遇到这种大跳转则直接F4到下面 直到碰到这个地方, 这里红色的箭头都是在一个范围内跳转,唯一跳出这个范围的箭头是白色的。在白色箭头指向的地方下断点后运行。 果然发现跳转到了这个位置,之后观察这个je, 其会跳转到ret,可以感觉到这个retn是跳往OEP的 但是可以发现跳转没有实现 在这个大循环的过程中,在eax内看到很多API。很显然这是在构建导入表 果断在retn处...
UPack 压缩PE头文件分析(特点总结)
m0_62690279的博客
04-15 1122
文章目录UPack 头文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
LogFeaturePack: Error: Error in Feature pack D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack. Failed to parse manifest: Invalid Json Token. Line: 43 Ch: 4
最新发布
07-16
具体是位于 D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack 的 TP_VirtualRealityBP 特性包。 错误信息表明在解析清单文件时遇到了无效的 JSON 标记。具体指明了错误发生在第 43 行的第 4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值