病毒分析-手动脱壳和自动脱壳工具

于 2024-10-25 16:30:27 发布
阅读量288 收藏 5
点赞数 4
分类专栏: 病毒分析 文章标签: 笔记
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
本文链接:https://blog.youkuaiyun.com/Alsn86/article/details/143237834
版权

病毒分析-手动脱壳和自动脱壳工具

手动脱壳和自动脱壳工具是软件逆向工程及病毒分析中常用的技术手段,用于去除软件或病毒文件中的壳代码,以便分析其核心代码或行为。以下是两者的详细介绍:

手动脱壳

1.定义:
手动脱壳是通过调试工具对加壳的软件或病毒文件进行逐步分析,找到并去除壳代码的过程。
2.特点:
对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。
适用于各种复杂的壳代码,包括手写壳和定制壳。过程繁琐且耗时,需要耐心和细致的分析。
3.主要步骤:
运行程序并设置断点,观察程序的执行流程。
查找并分析壳代码的执行逻辑,找到壳代码与原始代码之间的分界点。
修改内存中的数据,将控制权转移给原始代码,实现脱壳。

自动脱壳工具

1.定义:
自动脱壳工具是专门用于去除软件或病毒文件中壳代码的自动化软件。
2.特点:
操作简单,只需选择待脱壳的文件并点击相应按钮即可。
适用于常见的壳代码,如UPX、ASPACK等。
对于复杂的壳代码或定制壳,可能无法有效脱壳。
当壳代码更新后,之前的脱壳工具可能会失效。
3.常见工具:
UPX壳:可用UPX工具进行脱壳。
ASPACK壳:可用UNASPACK或CASPR等工具进行脱壳。
其他壳:如PEcompact壳可用UNPECOMPACT工具进行脱壳。
集成化工具:Unpacker AIO Tool等集成化的软件逆向工程辅助工具,也提供了自动或手动选择软件保护模式,适应不同的加壳技术的功能。

在实际应用中,应根据具体的分析需求和壳代码的复杂性,灵活选择使用哪种脱壳方式。对于复杂的壳代码或定制壳,手动脱壳可能更为合适;而对于常见的壳代码,自动脱壳工具则能提供更快速、便捷的解决方案。

手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 2087
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
腾讯安全ApkPecker上线DEX-VMP自动脱壳服务
qcloud_security的博客
07-19 1321
近日,腾讯安全科恩实验室ApkPecker上线了自动脱壳服务,帮助安全人员更好地进行安全审计。经过大规模测试结果显示,ApkPecker的脱壳成功率超过了85%。 移动应用脱壳是移动应用逆向及恶意应用分析最基本的操作,主要为在移动应用安全审计病毒分析的过程中,帮助安全人员脱掉应用的壳代码,从而去分析其关键代码。移动应用脱壳有助于开发者及时发现应用开发代码本身存在的安全问题以及审查发现恶意行为。企业尤其是规模较大的企业经常需要采用第三方供应链提供的应用安全开发及加固服务,安全人员需要对其安全性进行校验.
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
自动脱壳工具drizzleDumper
01-29
一款自动脱壳工具 使用前提: 手机需要root 使用步骤: 1. 安装加固的包, 2. adb push xxx\drizzleDumper /data/local/tmp 3. adb shell 4. chmod 777 /data/local/tmp/drizzleDumper 5. data/local/tmp/drizzleDumper [包名] [秒数] 例:data/local/tmp/drizzleDumper com.example.modifyso 5 详细步骤可查看压缩包里面的使用说明
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
一个病毒脱壳及修复
zhuzhenyang110的专栏
11-09 931
 这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体。脱壳修复 过程不是很复杂,但还是需要一些小技巧。     未脱壳的代码如下图所示: 401535前面都是壳代码,从call eax进入到实际代码运行,从7ff8165c开始,但是实际代码运行后下api断点都断不来 从7ff8166b这个调用跟进去,发现它指向了一个mov edi,edi,然后
35款最新自动脱壳工具合集
09-23
本人收集的比较好用的自动脱壳工具,共35款,一包打尽所有工具.
WSUnpacker V0.20:自动化通用脱壳工具的新版本
这对于分析恶意软件、取证调查等领域尤其重要,因为恶意软件作者经常会试图通过改变文件扩展名来迷惑用户病毒软件。 ### 标签说明 - **脱壳**:指的是去除软件上的保护壳,以恢复软件的原始形态或进行安全分析...
自动脱壳
08-12
在IT领域,"自动脱壳机"是一种专门用于分析处理病毒、木马或恶意软件的工具。这类工具的主要功能是去除程序的保护层,即所谓的"壳",以便更深入地研究其内部代码行为。这里的"壳"通常是指一些加密、混淆或者虚拟...
手动脱壳第二课 UPX 1.08.zip
01-03
本教程“手动脱壳第二课 UPX 1.08”专注于UPX(Ultimate Packer for eXecutables)这一著名的开源压缩加壳工具脱壳过程。UPX是一种广泛使用的工具,它能将程序进行压缩,减小文件大小,同时也能为程序添加额外的...
360加固保-自动脱壳工具
02-04
1、通过模拟器或手机端将360加固的apk文件进行半自动脱壳,方便研究学习作者的源码 2、内有详细说明 3、内有自动化的批处理,运行它就可以了 4、运行界面如下: D:\apktools\drizzleDumper>1drizzleDumper * daemon not running. starting it now on port 5037 * * daemon started successfully * 320 KB/s (9532 bytes in 0.029s) "请在模拟器中运行目标应用..." WARNING: linker: /data/local/tmp/drizzleDumperX86 has text relocations. This is wasting memory and is a security risk. Please fix. [>>>] This is drizzleDumper [<<>>] code by Drizzle [<<>>] 2016.05 [<<<] [*] The wait_times is 3s [*] Try to Find com.newapptest
全功能文件去壳
05-28
unASPack 破解软件 全功能文件去壳
捆绑分离工具,去壳,EXE文件绑定分离
09-27
捆绑分离工具,去壳,广告插件检测……,收集了一些常用的检测分解工具
脫殼工具PECompact 2[1].x-3.x 免安裝版
07-06
脫殼工具PECompact 2[1].x-3.x 免安裝版
加壳脱壳(转)
LG的专栏
03-31 1141
 加壳脱壳 新手必看 初学者必须掌握原理 (综合定义) 壳是什么?脱壳又是什么?这是很多经常感到迷惑经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“壳”的世界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是:寒蝉在蜕变时,本体脱离皮壳而
病毒分析-ollydbg脱壳的步骤原理
最新发布
Alsn86的博客
10-25 544
启动OllyDbg,将需要脱壳的可执行文件加载到调试器中。OllyDbg会加载程序并停在程序的入口点(EP),但此时通常不是原始入口点(OEP)。
脱壳简单了解
akdelt的博客
01-25 2223
为了防止程序被非法修改或反编译,开发人员通常会在二程序中加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码自然界的壳在功能上十分相近,因此把这样的程序称之为“壳”。壳一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
常见脱壳与反编译工具
qq_42016346的博客
07-03 5922
目录 一、Android APK 查壳工具 二、Xposed框架下的脱壳工具 1.Zjdroid 2. DexExtractor(可在真机使用) 3. dexdump 4.FDex2 三、Frida框架下的脱壳工具(方便且持续更新) 1. frida-Android脱壳 2. frida-unpack 3.FRIDA-DEXDump 4.frida_dump 5.FRIDA-APK-UNPACK 四、AndroidKiller脱壳插件: 1.drizzleDumper ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值