病毒分析-ollydbg脱壳的步骤和原理

最新推荐文章于 2025-02-13 19:57:47 发布
最新推荐文章于 2025-02-13 19:57:47 发布
阅读量544 收藏 6
点赞数 4
分类专栏: 病毒分析 文章标签: 笔记
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
本文链接:https://blog.youkuaiyun.com/Alsn86/article/details/143235352
版权

病毒分析-ollydbg脱壳的步骤

一、OllyDbg脱壳的步骤

1.程序载入与初始化:

启动OllyDbg,将需要脱壳的可执行文件加载到调试器中。
OllyDbg会加载程序并停在程序的入口点(EP),但此时通常不是原始入口点(OEP)。

2.寻找OEP:

OEP是程序加壳前真正的入口点,找到OEP是脱壳的关键。
可以使用多种方法寻找OEP,如单步跟踪法、ESP定律、内存镜像法、一步到达OEP法、最后一次异常法等。
单步跟踪法通过逐步执行程序,观察程序执行过程中的变化,找到壳程序解压或解密原始代码的位置。
ESP定律利用程序中堆栈平衡的合理利用,通过观察寄存器出栈时的程序代码恢复情况,找到OEP。
内存镜像法在程序加载时,通过下内存断点,观察程序访问资源段和代码段的情况,找到OEP。
一步到达OEP法根据壳的特征,直接找到距离OEP最近的汇编指令,下断点捕获OEP。
最后一次异常法通过记录程序自解压或自解密过程中的异常次数,定位到最后一次异常位置,接近自动脱壳完成位置。

3.在OEP处下断点:

一旦找到OEP,需要在该位置下断点,以便在程序执行到该点时暂停执行。
这可以通过OllyDbg的断点设置功能实现。

4.Dump程序:

在OEP处下断点后,让程序继续执行,直到断点触发。
此时,程序已经解压或解密了原始代码,并停留在OEP处。
可以使用OllyDbg的Dump功能,将内存中的程序映像转存出来,得到脱壳后的程序。

5.修复IAT(导入地址表):

多数加壳软件在运行时会重建导入地址表,因此脱壳后需要修复IAT。
可以使用专门的工具(如Import REConstructor)来修复IAT,确保程序能够正确运行。

二、OllyDbg脱壳的原理

1.动态调试:

OllyDbg是一款动态调试工具,能够在程序运行时实时分析程序的执行过程。
通过动态调试,可以观察到程序在执行过程中的各种变化,包括寄存器值、内存地址、堆栈情况等。

2.内存访问分析:

在程序执行过程中,OllyDbg可以监视程序的内存访问情况。
通过分析程序访问内存的模式和地址,可以推断出壳程序的解压或解密算法,从而找到OEP。

3.异常处理:

程序在自解压或自解密过程中可能会触发异常。
OllyDbg可以记录并分析这些异常,通过定位最后一次异常的位置,接近自动脱壳完成的位置。

4.代码段分析:

加壳程序通常会将原始代码压缩或加密后存储在代码段中。
通过分析代码段的结构和内容,可以推断出壳程序的解压或解密算法,并找到OEP。

5.寄存器与堆栈分析:

在程序执行过程中,寄存器和堆栈的变化可以反映出程序的执行状态。
通过分析寄存器和堆栈的变化情况,可以推断出壳程序的解压或解密过程,并找到OEP。

[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDAOD逆向
杨秀璋的专栏
04-27 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了宏病毒相关知识,包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDAOD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
[系统安全] 十四.熊猫烧香病毒IDAOD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5336
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
脱壳简单总结
weixin_45880501的博客
07-06 3518
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
使用 OllyDump 完成一次脱壳实战解析
最新发布
m0_57836225的博客
02-13 620
加壳是通过特定算法将原始程序代码数据进行压缩、加密或变形处理,并添加额外的代码来实现解压缩、解密还原原始程序的功能。加壳后的程序在运行时,首先执行壳程序代码,完成对原始程序的加载环境初始化,然后将控制权交给原始程序,使其正常运行。常见的加壳类型有压缩壳(如 UPX)、加密壳(如 ASProtect)等,不同类型加壳技术在保护强度解壳难度上有所差异。使用 OllyDump 进行脱壳是一个复杂但有趣的过程,需要综合运用调试技巧、汇编语言知识对程序运行机制的理解。
ollydbg脱壳教程
07-15
里面有10多个教程,这个要多谢那些录制的大哥,我来分享给大家认识
ollydbg(od吾爱破解最新版)+多款脱壳脚本 目前破解最强工具!
04-07
ollydbg(od吾爱破解最新版)+多款脱壳脚本 ,目前破解最强工具!
脱壳基础教程
Aquarius_ego的博客
05-29 8552
软件脱壳相关介绍
X64dbg手动脱壳
liulala987的博客
08-28 2681
专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的元时代吗才开始被执行。
ollyDBG脱壳脚本编辑器
08-18
综上所述,"ollyDBG脱壳脚本编辑器"是针对逆向工程恶意软件分析的专业工具,通过使用它,用户可以编写自定义脚本来自动化脱壳过程,深入探索程序的内部结构逻辑,对于提升分析技能应对安全威胁具有重要意义。...
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
exe文件脱壳步骤txt下载
01-07
### EXE文件脱壳步骤详解 #### 一、壳的概念及作用 在计算机软件领域,**壳**是指一种专门用于保护程序的工具。它通过对exe、com、dll等类型的程序文件进行特殊的处理(通常称为“压缩”),在不改变原有程序逻辑...
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDAOD逆向
杨秀璋的专栏
03-06 6722
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDAOD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
ollydbg教学篇
WiNrOOt的逆向工程专栏
08-03 7077
写之前先说点废话(谁扔的香蕉皮,鸡蛋^^^^^^^^^^^): ollydbg是个功能强大的软件,以前我也不用他(不习惯),而且很多经典教程都是用trwsoftice作为示例工具写的. 初学者(注:我一样的人)往往一开始就接触这些工具,做练习也就用这些工具!可以说已经上手了! 对ollydbg的动态调试功能也就陌生了! 现在一个很现实的问题让我改变了习惯,我的键盘鼠标是usb的,显示器也给
Ollydbg手脱UPX加壳的DLL
修养生息,以得佳境
03-10 1749
Ollydbg手脱UPX加壳的DLL 作者:FLY 文章来源:网络 点击数:33 更新时间:2005-2-27   Ollydbg手脱UPX加壳的DLL                          [fly]                               【目标程序】:UPX加壳的EdrLib.dll。附件中还有输入表、重定位数据、UPXAngela以及UnPacked以供参考
手动脱壳教程
weixin_44032972的博客
05-21 1万+
一、什么是壳?         壳是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、壳的加载过程 1、保存程序入口参数         加壳程序初始化时保存各个寄存器的值(用堆栈),外壳执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
手动脱壳技巧总结
93Storm
04-24 507
1、  壳名:PECompact 2.x -> Jeremy Collake 脱壳方式:采用ESP定律进行脱壳 2、后序会慢慢总结进行补充。
DLL文件脱壳
weixin_43575859的博客
05-19 1万+
博客中用到的例子某些程序的链接在文章末尾。 对DLL文件进行脱壳原理对普通PE文件进行脱壳原理其实是差不多的,就是多了一个构造重定位表的步骤。因为DLL文件都是映射到其他进程的地址空间中,所以基址很有可能不是默认基址。而壳又会破坏原来的重定位表,所以我们脱壳后需要手动构造一个新的重定位表。 第一步,也是需要像脱普通PE文件的壳一样,先找到OEP,然后再把镜像文件给Dump下来。但是因为重定位的关系,我们又希望脱壳后的文件尽量脱壳前的一样,所以我们就需要找到壳中进行重定位的那一段代码,然后将其跳
Ollydbg手动脱壳得几点小结
vbsourcecode的专栏
11-02 3801
手动脱壳 Ollydbg手动脱壳得几点小结:           一般认为手动脱壳的关键是找到软件的真正入口OEP,但是用ollydbg脱壳知道软件的真正入口OEP并不能解决问题,因为ollydbg的工作原理softice、trw2000等的有所不同,在OEP未解压以前是不能在OEP设断上的,因此用ollydbg脱壳的关键是让程序中断在OEP,一旦中断在OEP脱壳就告完成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值