调试原理-逆向pe-脱壳

最新推荐文章于 2025-05-15 14:34:06 发布

原创

最新推荐文章于 2025-05-15 14:34:06 发布 · 1.6k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#调试原理 #脱壳

本文介绍了如何使用逆向工具Ollydbg、PEID、LordPE和ollydump等，对PECompact 2.x壳进行分析和脱壳。通过收集信息，先进行了不完美脱壳，然后通过硬件断点和importREC实现完美脱壳，修复了IAT表中的无效函数，使得程序能正常运行。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

这几天都没怎么写博客了，主要是因为在写文件系统过滤的时候老是蓝屏，感觉心力交瘁，根本一点都不想再看内核代码，就逆向分析了一下peid的原理，前辈们关于这一块的分析的文章也很多，这里只是按照我个人的思路对peid进行逆向分析，大体弄清楚peid怎么对一个pe文件进行分析的。

工具：

逆向工具：ollydbg，peid
脱壳工具：lordpe，importREC，ollydump
分析对象：peid v0.94

分析过程：

收集信息

首先用peid分析peid ~~好奇怪的样子~~，得知加过壳，壳的版本为PECompact 2.x -> Jeremy Collake，不算是强壳，直接od载入程序，先脱壳再说

oep不完美脱壳

单步一步发现只有eax和eip变化，不管，在尝试单步一次，发现只有esp和eip变化，不多说，直接右键esp数据窗口跟随，然后下硬件访问断点，shift+F9忽略异常运行，中断在系统领空

77B8B5BB    3B45 F8         cmp eax,dword ptr ss:[ebp-0x8]
77B8B5BE    72 09           jb Xntdll_1A.77B8B5C9
77B8B5C0    3B45 F4         cmp eax,dword ptr</

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Nightsay

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

iOS安全逆向之旅---逆向基本知识概要介绍

尼古拉斯.赵四的博客

07-20

2514

一、应用发布二、应用加壳三、应用文件说明(ipa/app) Mach-O 四、OC语言介绍五、证书说明

【调试原理】逆向peid-判定vc

Night May Say

04-10

1963

以前一直认为一个工具只要会用就可以了，可是作为一名喜欢安全的渣渣来讲，会用还远远不够，你还得了解它，欺骗它，改造它，提升它！上一篇文章讲了如何脱掉peid0.94版本的壳 [调试原理]逆向peid_脱壳这一篇文章对peid开始逆向分析它的原理。开始的时候，从最简单的分析起：如何判断程序有vc编译器编译的。逆向工具：ollydbg，ida，winhex 分析对象：peid v0.94(

参与评论您还未登录，请先登录后发表或查看评论

pe结构详解-脱壳教程

07-18

pe结构详解，脱壳必备教程，含PE结构图。从某种意义上讲，可执行文件的格式是操作系统本身执行机制的反映。掌握可执行文件的数据结构及其一些运行机理，也是研究软件安全的必修课

使用IDA调试SO脱壳，环境准备及各步骤原理详解

weixin_34099526的博客

11-01

425

引言最近在捣鼓移动端的脱壳，虽然目前这方面的教程有挺多的了，但还是走了很多弯路，现在希望把这些内容记录下来帮助有需要的人环境准备手机环境首先请准备一台手机，这台手机需满足以下三个条件： ——必须是真机 ——手机系统版本为安卓4.4及之前的系统 ——手机已经root 首先解释为什么要是真机，因为模拟器经常会遇见各种各样的问题（亲测）导致有些步骤进行...

软件加密技术详解：PE格式、Windows基础及加壳脱壳

最新发布

weixin_42465140的博客

05-15

1531

PE（Portable Executable）文件格式是Windows操作系统中的可执行文件格式，它继承自早期的Unix系统中的COFF（Common Object File Format）格式，并对其进行了扩展和优化。PE格式起源于1990年代初，随着Windows NT的发展而被创造出来，目的是为了提供一个与平台无关的执行环境，使得软件能够在不同架构的Windows系统上运行。PE文件格式具有以下特点：模块化：PE文件由若干个模块组成，每个模块都有自己的属性和功能，便于管理和扩展。

LordPE(PE文件分析、修改、脱壳软件)

06-18

LordPE，是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具，并且可以修改相关信息。

PE文件的简单加壳和脱壳（UPX和PEiD）

qq_29566629的博客

02-12

4680

先普及几个概念： PE文件：portable executable（可移植的可执行文件），主要在Windows系统中，包括exe/dll/sys文件。加壳：是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。加上外壳后，

pe文件格式脱壳基础知识入门

05-17

从pe文件格式分析开始讲解简单的脱壳基础知识。

逆向查壳工具--Exeinfo PE

05-31

在信息安全领域，逆向工程是分析软件以了解其内部工作原理的过程，而“壳”则通常指的是用于隐藏程序真实代码、防止反编译或调试的保护层。下面我们将深入探讨Exeinfo PE及其相关知识点。 1. **逆向工程**：逆向...

LordPE - 查看PE文件的强大工具 Win10系统可用

11-20

3. **PE脱壳**：LordPE支持对加壳的PE文件进行脱壳操作，可以有效地剥离保护层，揭示其原始代码，这对于反病毒研究和恶意软件分析非常有用。 4. **附加功能**：除了核心功能，LordPE还包含了其他实用工具，如16Edit...

PE文件与脱壳初探

m0_46296905的博客

06-07

3205

PE文件与壳一、PE文件的载入机制：（一）相对虚拟地址RVA：（二）文件偏移地址（物理地址）：二、PE文件结构简述（一）MS-DOS头部（二）PE文件头DataDirectory[16]（数据目录表）：（三）区块一、PE文件的载入机制： PE文件并不是作为单一映射文件被载入，它先被Windows加载器（PE装载器）遍历，决定哪个部分要被映射，（映射是高偏移地址对应高内存地址）。然后PE文件被载入内存，数据结构布局与原始的一致之外，数据间的相对位置不一定一致。所以某一部分的载入偏移地址不一定等于原始偏移地

PE文件的UPX脱壳算法的实现

06-23

PE是Portable Excutable的缩写，指“可移植可执行”文件，是32 位 Windows操作系统可执行文件的标准格式。在计算机安全领域中PE文件如果被修改或者被反编译，都会使计算机产生安全隐患或者使软件的核心技术被窃取，所以保护PE文件不被修改是一件很重要的工作，当前通常采用加壳的方法对PE文件进行保护，这其中UPX是具有代表性的压缩类外壳。本文首先对PE文件格式进行了全面细致的研究，PE文件的头部结构对可执行文件进行了整体描述，是加壳脱壳工作的重要信息来源。接下来本文还分析了外壳的加载流程以及UPX的加壳流程，外壳的加载流程具有普遍规律，掌握外壳的加载流程是理解外壳的工作机制以及编写加壳脱壳程序的基础。最后针对UPX外壳采用动态脱壳设计方案，进行UPX动态脱壳算法的设计与实现，动态脱壳设计思路以外壳程序在内存中还原出原文件为突破口，将加壳文件载入内存使其自行脱壳，并抓取内存映像，完成原文件的构造。相比于静态设计方案，动态脱壳设计方案具有更强的通用性。

万能PE自动脱壳机特别适合新人

09-11

万能PE自动脱壳机对加壳软件自动脱壳不管是VC Delphi VB 不要怕不会用哦，不过有些新的可能脱不了

完美脱壳组装PE的一般步骤（Obsidium1.3.6.4 DEMO 主程序）

weixin_33788244的博客

04-11

362

最近学习了天草视频。记录一下笔记。 Obsidium1.3.6.4DEMO版本主程序下载地址：http://download.youkuaiyun.com/detail/whatday/5244425 前期准备工作：这里主要记录的完美脱壳的PE组装的一些步骤，脱壳部分用脚本带过。一般脱壳的OD脚本如下：(跳过脚本) /* repair Obsidium 1.3...

PEID0.95脱壳

谢绝(无视)留言与私信

10-09

1362

前言手里PEID是52pj版的，想看看PEID算法扫描插件调用时的函数调用，应该就是标准的DoMyJob函数，不过还是想看看. 原版PEIDFrom52Pj是加壳的, 有UPX段，应该是UPX压缩壳, 准备手脱.调试记录PEID脱壳EP004982B0 > 60 pushad 004982B1 BE 00404600 mov esi,PEiD.0046

逆向-C++判定PE文件

写代码的小阿帆的博客

05-21

688

思路分析经过前面的介绍，我们对PE文件结构已经有了大致了解，与其他文件的不同是DOS部首和PE文件头的内容，我们可以检测DOS_HEADER中的e_magic魔术字字段是否为“MZ”来判断是否为PE文件，但这还不够，如果有其他文件的起始字符也是“MZ”不就造成误判了么，所以我们还需验证PE文件头中的SINGATURE是否为“PE00"，两者都满足，我们才认为该文件是PE文件。大致思路就是解析PE文件，根据其中的关键字来判断是否是PE文件，如果需要，我们还可以通过PE文件头中IMAGE_FILE_HEAD

逆向修改PE文件代码

wen_877591354的博客

05-08

926

今天玩一下修改PE结构；用到的文件是ipmsg.exe，和PE查看器；这两个我都放百度网盘上了；链接：https://pan.baidu.com/s/1HcMUWuEtpQnVmJ1AHX1qAA 提取码：0qrq 需求是要给PE文件注入一段代码，加入MessageBoxA函数； ...

PEiD检测不是有效的PE文件

哼哼唧唧

12-09

6949

在做逆向分析题目的时候用了好几次PEiD检测是否加壳，都显示不是有效的PE文件，在此记录一下原因。，如果显示不是有效的PE文件，说明你的可执行文件为64位，不能用PEiD检测。下面使用Exeinfo PE查看，Exeinfo相当于PEiD的升级版。下载后想使用中文，从右侧按钮的设置中，选择语言为中文即可。直接把64位可执行文件拖入即可查看信息，这里显示。，即没有加壳，就可以直接用IDA进行调试分析啦~附Exeinfo PE下载地址。

逆向基础-PE文件结构

AppWhite_Star的博客

07-30

448

逆向基础-PE文件结构

CFF-Explorer：PE结构分析与UPX脱壳神器

在进行逆向工程时，分析PE文件结构是理解程序工作原理和寻找潜在安全漏洞的基础。通过CFF-Explorer，开发者和安全研究员可以深入地查看和修改这些结构，以实现对程序行为的精细控制。 CFF-Explorer还支持对UPX等...