3.20学习——UPX壳

于 2025-03-20 23:06:49 发布
阅读量843 收藏 17
点赞数 8
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88422349/article/details/146395995
版权

什么是UPX壳

UPX壳是一种压缩壳,用来压缩运行程序大小,同时壳的存在也是防止反汇编软件找到入口点,所以脱壳就显得很重要。
例如:这里有一个带upx壳的exe在这里插入图片描述如果直接用反汇编工具在这里插入图片描述就会发现函数很少,而且伪C代码也没信息,这就是壳的作用,通过修改程序的入口点来实现阻止反汇编工具的使用

UPX脱壳

常规upx壳

还是以上面的那个题做例子
在这里插入图片描述用PE查壳工具看了之后提示了尝试使用upx -d指令直接脱壳,并且右边也写了是UPX段的内容,这里也可以用010看一下在这里插入图片描述发现了有三段UPX标识段,这时用upx -d直接脱壳就行了

魔改类型1:修改UPX标识段

通过上面也看得出来,UPX壳的识别段正常情况都是像上面这样的,但是也会遇到魔改的,例如:
在这里插入图片描述这里通过PE可以看到,原本是UPX1的表示段变成了APK1,此时虽然会怀疑是不是加壳方式判断错误,但是注意看最下面的提示:不要尝试直接UPX -d脱壳。说明还是UPX壳,但是UPX标识位被修改了,用010看一下在这里插入图片描述发现确实是APK,尝试将APK修改成UPX试试在这里插入图片描述下面的提示就变成了让我们用UPX -d脱壳
再看一个例子:
在这里插入图片描述这里可以看到标识段的UPX是小写的,提示不要直接UPX-d脱壳,所以在010中将小写upx改为大写即可。

总结一下:这种修改标识段的UPX脱壳一般具有两个特征:
1.提示处:不要直接用UPX-d脱壳
2.标识处:不是UPX1

方法:修改UPX标识处,改回UPX

魔改类型2:在elf文件中修改偏移值

对于elf文件的UPX加壳,与pe文件不一样,举个例子:在这里插入图片描述这里可以看到是upx加壳的elf文件在这里插入图片描述可以在文件开始的位置发现UPX!,与pe文件不同的是这里UPX没有分为4段排列在一起。用PE查看这道题目的提示:尝试upx -d脱壳,但是依旧不能直接脱壳,根据查询,如果elf文件最后的overlay_offset值(偏移值)被修改了也是不能直接脱壳的。正常的偏移值应为F4 00 00 00在这里插入图片描述这里被修改位4F了,将其修改过来就可以脱壳了

魔改类型3:手动脱壳

因为UPX壳的变种很多,上面所提到的是最常见的几种,面对一些题目将UPX标识位改为0的就很难办了,这个时候就要学会手动脱壳,虽然这样脱壳出来的伪代码不好看,但起码能有伪代码看。
要学习手动脱壳,就要先学习UPX加壳原理ESP定律脱壳
这里先学习利用ESP定律脱壳
举例:在这里插入图片描述这里可以看到首先是一个UPX壳,UPX区段被改为0x00了,这种情况下手动脱壳是最好的选择,用x64打开,F9运行在这里插入图片描述到达入库断点处,发现调用四个压栈,同时rsp是红色的,F8步过,一直到push下面右键RSP,在转储中跟随在这里插入图片描述右键设置断点——硬件——存取——四字在这里插入图片描述接下来F9,发现大跳转在这里插入图片描述出现了EO入口地址,同时压栈变成出栈,说明即将恢复入口地址,接下来只需要跳转到EO处即可,但是这里有个死循环,F4跳转到光标处跳出循环
在这里插入图片描述接下来调用Scylla插件进行恢复,点击IAT自动搜索在这里插入图片描述再点击获取导入在这里插入图片描述接着点击修复转储就可以了,接下来用IDA打开看一下在这里插入图片描述发现脱壳成功了

醉暮天
关注
Upx
大学二年级
09-28 955
UPX 是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。UPX 支持许多不同的可执行文件格式 :包含 Windows 95/98/ME/NT/2000/XP/CE 程序
新手某UPX脚本,脱+破简单网络验证+心跳处理
vbnetcx的博客
10-25 3万+
看旁边的注释,整个一套http请求,具体是需要什么参数或者返回什么也不清楚,从单词意思上来看,构造请求-发起请求-读取数据-关闭请求,大致是这样一个逻辑,接着就一个个拿名字到百度去搜索,全是win系统的API,微软官网都有比较好的注释。来到这里,函数很长,上下滚动看看,注意看旁边的注释,有网络请求,还有download字样,看来是一个网络验证,而且应该还下载了数据(困难2),有点超过我的预期了..1、拿到软件熟悉的右键 -- 属性,软件只有130K,感觉有点小,第一感觉是有压缩,果断查
3.6---3.12---
qq_73505302的博客
03-11 1224
upx加壳工具
03-09
Qt程序压缩利器你懂的
upx加壳原理
抠专栏
03-14 4076
原文 upx的功能有两种描述。一种叫做给程序加壳,另一种叫压缩程序。其实这两种表述都是正确的,只是从不同的 角度 对upx的描述。 upx的工作原理其实是这样的:首先将程序压缩。所谓的压缩包括两方面,一方面在程序的开头或者其他合适的 地方 插入一段代码,另一方面是将程序的其他地方做压缩。压缩也可以叫做加密,因为压缩后的程序比较难看 懂,主要是 和原来的代码有很大的不同。最大的表现也就是
软件安全-UPX加壳
写代码的小阿帆的博客
05-03 3268
加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 其原理是将可执行程序按照一定算法进行压缩,达到程序源代码的加密效果,执行时在先脱内存中解压缩,还原,再执行原程序部分。从而达到防修改与防反编译的效果,而因为源代码在磁盘中以压缩形式存储,虽然脱操作加重了CPU的负担,但减少了磁盘的读写,所以在大多数情况下还能提高程序运行速度;这种技术也常被应用到病毒免杀中,给病毒加壳后,杀毒软件往往很难识别。 也能提供一些保护功能,比如时间限制,使用次数和注册等。 UPX UPX (the Ultimat
UPX
最新发布
2401_88035198的博客
11-01 353
UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。通过 UPX 压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。
使用upx对二进制进行加壳
Rocky的博客
06-30 2369
使用upx对二进制进行加壳
UPX Shell 最好的UPX程序-易语言
06-13
UPX Shell是一款基于UPX(Ultimate Packer for eXecutables)的实用工具,专为易语言程序设计,用于提高程序的压缩率和执行效率。UPX本身是一个开源的可执行文件打包器,它能够对PE(Windows可执行文件)、ELF...
手动改造UPX,增加IAT保护
热门推荐
vbnetcx的博客
10-25 3万+
Microsoft的IAT是整整齐齐,用一个DWORD类型的0,隔开每个对应每个DLL的IAT,而Borland就坑爹了,它的IAT是散乱的,也就是说,每个DLL对应的IAT表可能在内存分布中是不连续的。所以,脱的时候,修复IAT,这Borland就是急死人了,最好就是找到外填充IAT的地方,来Patch它得到一份完整的IAT表。思路很简单,找到填充IAT的地方,添加两个区块,一个放解密IAT的代码(stub),一个放我们加密IAT的代码。从跳到我们的区块去执行加密,然后,嘿嘿。
UPX较常用的压缩(共70多个版本)
08-30
UPX is a portable, extendable, high-performance executable packer for several different executable formats. It achieves an excellent compression ratio and offers **very** fast decompression. Your executables suffer no memory overhead or other drawbacks for most of the formats supported, because of in-place decompression.
UPX加壳
08-21
UPX加壳器系统结构:UPX加壳器======窗口程序集1||||------_按钮1_被单击||||------__启动窗口_创建完毕||||------_拖放对象1_得到文件||||------__启动窗口_将被销毁||||------_按钮2_被单击||||------_选择
UPX编译自动加壳.rar
12-22
UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar
加壳压缩工具upx最新版本
01-22
加壳压缩工具upx最新版本upx-3.95-win64。有需要的可以来下载。
UPX加解工具,UPX加壳,UPX
08-13
UPX能够显著减小可执行文件的大小,通过压缩代码和数据,提高程序的加载速度,同时提供了一定程度的保护,使得逆向工程师更难以分析程序的内部结构。 标题提到的“UPX加壳工具”是指用于将UPX添加到可执行文件...
UPXv1.9源代码
02-28
UPXv1.9源代码
UPX为APK加壳.init段相关问题
KD的疯狂实验室
02-04 1610
探讨了以下内容: - 为什么一些.so在新版编译的UPX中压缩无法通过. - .init段的一些简单探索
UPX源码分析——加壳
键盘的起始页
07-27 4376
0x00 前言UPX作为一个跨平台的著名开源压缩,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,为感兴趣的研究者和使用者做出一点微不足道的贡献。0x01 编译一个debug版本的UPXUPX for Linux的源码位于其git仓库地址https://github.com/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值