利用ESP定律法手动脱upx壳

已于 2023-07-07 10:12:08 修改
阅读量705 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: 笔记 程序人生
于 2023-07-07 09:49:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2201_75522173/article/details/131590331
在遇到某些难以用自动化工具脱壳的程序时,可以采用ESP定律法手动脱壳。首先通过查壳工具识别文件属性,然后使用32位IDA分析。接着,在32位Dbg中设置断点,观察ESP寄存器的变化,找到OEP。一旦找到popad指令,确定壳执行完毕,就可以进行dump操作。之后修复IAT以确保导入函数的正确性,最终实现完全脱壳。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在做题过程中,有时会遇到upx-d或脱壳工具无法脱去的壳,这时就需要自己去手动脱壳

ESP定律法是脱壳的利器,是应用频率最高的脱壳方法之一.ESP定律的原理在于利用程序中堆栈平衡来快速找到OEP由于在程序自解密或者自解压过程中,不少壳会先将当前寄存器状态压栈,如使用pushad在解压结束后,会将之前的寄存器值出栈,如使用popad.因此在寄存器出栈时,往往程序代码被恢复,此时硬件断点触发然后在程序当前位置只需要少许单步操作,就很容易到达正确的OEP位置

首先拖入查壳工具查看,显示该程序是32位的可执行文件并且带有壳

再用32位IDA打开,能够发现函数明显较少,反编译也看不出什么,

接下来用32位dbg对该可执行文件进行脱壳,点击入口断点

在入口断点设置EIP后,F8单步执行一步

右键寄存器ESP地址,在内存窗口中转到,右键内存窗口,下硬件访问断点,

运行,此时停在一个popad指令下,到这说明它壳环境执行完毕,下方第一个jmp所要跳转的地址就是程序oep的入口,

然后用软件自带的插件进行脱壳,dump后获得脱壳后的程序,

下一步进行IAT的修复,原因在于有可能它的原始IAT也就是导入函数地址表并没有恢复,继续利用插件,点击自动获取IAT,点击输出,然后Fix Dump选择Dump后的程序,获得修复后的程序

再将修复后的程序拖入查壳工具中,发现它的壳已经脱去,再用IDA打开,会发现它的函数显示已经正常,

此时脱壳已经成功

_ycyc
关注
简单脱壳教程笔记(3)---手UPX(2)
oBuYiSeng的博客
03-18 6171
我们接着上一篇   ”简单脱壳教程笔记(2)---手UPX(1)“继续。我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪,接下来,我们讲解其他方式。         方2:ESP定律             ESP是我们的是一个寄存器,当程序使用pushad命令入栈的时候,只会让esp突变,根据堆栈平衡的原则,我们就可以找到OEP了。
手动改造UPX,增加IAT保护
热门推荐
vbnetcx的博客
10-25 3万+
Microsoft的IAT是整整齐齐,用一个DWORD类型的0,隔开每个对应每个DLL的IAT,而Borland就坑爹了,它的IAT是散乱的,也就是说,每个DLL对应的IAT表可能在内存分布中是不连续的。所以,脱壳的时候,修复IAT,这Borland就是急死人了,最好就是找到外填充IAT的地方,来Patch它得到一份完整的IAT表。思路很简单,找到填充IAT的地方,添加两个区块,一个放解密IAT的代码(stub),一个放我们加密IAT的代码。从跳到我们的区块去执行加密,然后,嘿嘿。
手动UPX
webcenterol
02-06 253
手动UPX write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移...
UPX脱壳---ESP定律
最新发布
2301_81060697的博客
06-07 479
详细介绍了如何使用x32/64dbg实现upx脱壳
ESP定律手工脱壳步骤
09-26 1531
第一步:查第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
手动UPX 实战
weixin_33797791的博客
08-07 190
作者:Fly2015 Windows平台的加软件还是比較多的,因此有非常多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳。首先第一步就是 查。然后才是 脱壳。 推荐比較好的查软件: PE Detective 、Exeinfo PE、DIE工具。   须要脱壳程序是吾爱破解论坛的windows逆向破解培训http://www.52poji...
手动UPX压缩
bangren3304的博客
09-25 360
示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx: 压缩之后查upx od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指...
16种可用ESP定律
01-29
下面列举的16种利用ESP定律手动脱壳的方: 1. Aspack方ESP+6175处找到POPAD和JMP指令。 2. UPX:寻找第一个JMP指令,ESP+S处的地址作为起点。 3. PECompact 1.68 - 1.84:注意第一个PUSH指令,其后的地址...
160个crackme之005ajj.2破解思路及手UPX还有手动修复IAT
iqiqiya的博客
04-11 1209
 (感觉标题好长 哎呀 不重要了 本文以一个新手的角度来写)我们先观察下都给了什么还有一个txt文本 打开看看 我还百度了下SOFTICE和TRW    至于TRW不知道是不是这个TRW2000操作手册https://www.pediy.com/kssd/tutorial/append-c.htm 运行之后 下边图片区滚动播放 三字经 我想笑输入11111111111111 ...
UPX的几种方
xiaoyuai1234的博客
05-20 1万+
最近在研究各个脱壳,有些心得,和大家分享一下如何手UPX 我们的流程是 PEID查 得知的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方一:单步跟踪 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1017
目录预备知识的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 的概念 加的全称应该是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加利用特殊的算,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
upx手动脱壳esp定律手动脱壳
__ys的博客
06-02 1602
ESP定律手动脱壳 拿到有upx的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
upx手动脱壳
qq_36963214的博客
10-26 7332
upx upx是一个开源的工具,可以到github下载upx upx简单的用 upx src.exe命令将src.exe加 upx src.exe -o dst.exe命令将src.exe加并另存为dst.exe upx手动脱壳
UPX手动脱壳
宇丁加
07-07 413
就是一道逆向的简单脱壳题, 由UPX加的。然后就要进行脱壳, 想着手动脱壳 熟悉一下UPX的原理。 首先UPX就是压缩原程序的大小。 UPX就是在 原程序头部或者 其他地方插入一段代码,这段代码是用来解析后面被加密的代码(这种加密使原来的代码量变小)。 1是插入的代码,234是 被加密的代码,56是其他 1 2 3 4 5 6 1 7 8 9 5 6 789是原代码。 在程序执行时,通过1处的代码对后面的代码进...
ESP定理手动脱壳
2301_81223471的博客
03-15 828
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的,并没有讲解的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
ESP定律手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1431
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
手动UPX脱壳演示
qq_41426887的博客
07-03 7179
首先,用PEid打开加后的程序CrackmeUPX.exe,可以发现使用的是UPXUPX是一种比较简单的压缩,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
手动脱壳---ESP定律
Casuall的博客
06-04 1172
首先这篇文章不是讲ESP定律的原理,第一次接触ESP定律,跟着教程做了一遍,做个笔记,记录手动脱壳的过程。 首先载入OD,F8执行到pushad下面的call,然后观察寄存器,如果只有ESP和EIP是红色的,那么可以用ESP定律。 右键ESP的数据,选择数据窗口中跟随,可以看到左下角的数据窗口发生了跳转。 然后选择第一个数据 --> 右键 --> 断点 --> 硬件访问 --&...
脱壳笔记-手工UPX压缩
走在成长的路上
01-03 1825
upx的手工脱壳学习笔记
UPXUnPacKer.V0.3:轻松UPX的软件工具
尽管UPX主要是为了压缩可执行文件,但一些程序员和黑客也利用其进行软件保护,即所谓的“加”(也叫“技术”)。 #### UPX技术 UPX后的程序运行时,会被动态解压缩,然后执行。通常,被UPX压缩的程序会在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值