如何用x64dbg UPX手动脱壳(64位)

已于 2023-12-30 11:10:56 修改
阅读量2.8k 收藏 26
点赞数 16
文章标签: c语言 汇编
于 2023-12-23 15:29:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Pisces50002/article/details/135169522
版权

示例为 [SWPUCTF 2022 新生赛]upx 中的附件(64位,UPX3.96壳),可以用工具脱壳。下面尝试手动脱壳。

XP后的系统都有ASLR(地址空间随机化),导致dump后程序运行出错,因此我们首先用CFF Explorer修改该文件的Nt Header,禁用ASLR

在Nt Header下的Optional Header里修改Characteristics,勾选Relocation info srtipped from file。关闭后记得保存。

用x64dbg打开文件,进入系统断点(push rbx)。

按F9到达该断点(这里要按两次,上面还有个别的什么断点)

F7走完push压栈部分

观察到RSP的变化,在其上右键“在内存窗口中转到”

在右下角该地址右键,设置硬件断点

F9运行到断点处,看到下面的jmp大跳应该是入口,设置断点,F9跳过去

F7步入程序

往下翻可以看到提示字符串

这就正式进入了原程序,可以进行dump了

先点“IAT Autosearch”,再点“Get Imports”,在“Imports”中删除掉带有红色叉叉的,再点击“Dump”,之后“Fix Dump”选中之前的Dump文件,修复成功。

p04 副本_dump_SCY.exe 也可以正常运行

拖入IDA中,这里会不报错,Yes不用管它

(由于某种神秘力量?)没有main函数,只能通过字符串来找函数

X键找一下位置

可以看到大致的代码

如果想把字符串展开看,可以(退到IDA View-A中)修改Segment,取消w勾选

修复后

显然sub_140001540是printf函数,脱壳结束

P1sc3s007
关注
x64dbg使用技巧及upx手动脱壳
liulala987的博客
09-04 4612
专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的原始代码才开始被执行。壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,
用x32/x64dbg脱DLL壳(IAT表修复和重定表修复)
qq_41866334的博客
05-06 6457
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
通过手动upx去壳简单了解逆向
A_991128a的博客
08-27 2840
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
UPX 4.0.1 for Windows 64版本
最新发布
gitblog_06713的博客
04-22 334
UPX 4.0.1 for Windows 64版本 【下载地址】UPX4.0.1forWindows64版本 UPX 4.0.1是一款专为Windows 64系统设计的终极压缩器,能够高效压缩可执行文件,显著减少文件体积而不影响程序执行速度和兼容性。它支持多种操作系统和文件格式,操作简单,只需通过命令行即可完成压...
使用x64dbg手动UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 2307
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存置,打一个硬件断点,按下F9运行到停下的置,这个置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
X64dbg手动脱壳
liulala987的博客
08-28 2764
专门负责对程序体积进行压缩,或者是保护一个程序不被非法修改、逆向分析的一类软件。壳通过附加自身代码在保护对象(原始程序)上,在操作系统对原始程序代码进行执行只求按获得程序控制权,进而对原始程序进行解压或解密等还原操作,完成操作后控制权将还给原始程序,程序的元时代吗才开始被执行。
手脱64UPX
Breeze的博客
08-03 1万+
手脱64UPX壳 背景 近期舍友不知道为啥忽然要汉化一个GTA的外挂,第一次听说他要汉化,问了我一堆关于逆向的东西。由于外挂加了upx的壳(也是peid说的,我感觉是一个很奇怪的壳),他搞不定于是发来给我。 我平时也是逆向linux的elf文件多一些,windows的而且还是64的几乎没搞过,平时也没脱过什么壳,也就是听说过原理而已(感觉不难),再加上我之前的电脑坏掉了返厂修了,新电脑刚到手,...
ELF64手脱UPX壳实战
qq_41683953的博客
08-08 756
UPX脱壳
x64dbg脱壳upx
03-19
### 使用 x64dbgUPX 压缩的程序进行脱壳 #### 工具简介 x64dbg 是一款功能强大的开源调试器,支持 32 64 应用程序的调试与分析。通过结合静态反汇编调试技术和动态调试方法,可以有效应对诸如 UPX 加壳...
upx脱壳教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 3167
逆向常见的upx壳,如何手脱壳,怎么去手脱upx
upx自动脱壳
03-25
- 使用调试器(如x64dbg/OllyDbg)在UPX解压代码执行后转储内存: - 定到`OEP`(Original Entry Point),通常通过`POPAD`指令或内存访问断点。 - 使用插件(如Scylla)重建导入表并转储进程内存[^2]。 ```...
【逆向 | CTF】BUUCTF 新年快乐
weixin_46301214的博客
02-22 771
重点来了:四个步骤,先dump下来,然后修复IAT,再获取函数,再转存到脱壳的程序上,那么函数名称就被修复了。看代码就知道输入的是Str1变量比较Str2变量,那flag就是第9行了,过于简单,完事。坑点:如果只是dump下来,你会发现扔进IDA没法玩,没有函数名称,你都不知道是干嘛的。坑点来了:很多OD都是不正常的,还有半正常的OD,只有原版OD是正常的。吾爱破解OD是不正常的,x64dbg半正常,英文原版OD是很正常的。拿到软件,丢进IDA发现有点问题,只有两个函数,发现不对劲。esp定律,手动脱壳
UPX脱壳
03-19
将目标文件载入动态调试软件(例如OllyDbg、x64dbg)。当运行时,UPX会先解压原始代码并跳转至实际入口点。因此,设置断点于特定置至关重要。 3. **寻找OEP(Original Entry Point)** 在调试过程中,需找到原...
LyScript 插件实现UPX脱壳
优快云
08-12 8276
LyScript插件提供了对压缩壳的快速脱壳操作的功能。目前,LyScript插件支持两种脱壳方式,以帮助用户有效地解压被壳保护的程序。这两种脱壳方式使得用户能够根据实际情况选择最合适的方法来解压被壳保护的程序。无论是通过自己编写脱壳过程还是加载现有的脱壳脚本,LyScript插件都为用户提供了强大的工具和功能,以简化和加速脱壳操作的过程。
x64dbg脱壳
CHUNJIUJUN的博客
10-24 4609
第一次比赛上体验手脱,记录一下,64程序,x64dbg载入 断点里找入口,跟进去,423DC0是入口 F9让程序执行到这里 再F8,发现只有RSP寄存器的发生变化,符合ESP脱壳定律 在RSP这里右键,选择在内存窗口中转到 在内存窗口右键选择4字节的硬件断点 断点下好以后F9运行,跳到423FD5处,断在了几个pop之后 往下边看看,发现有一个大跳,在423FE5处下断点,F9运行过去然后F7 这里有一个点我比较疑惑,网...
最新UPX3.91-支持win64/PE-加/脱壳
热门推荐
cavalier的学习之路
11-26 1万+
前言 在CTF比赛中遇到加了UPX的x64程序,由于OD和IDA都不能动态调试,可以通过x64dbg进行手工脱壳,本文重点介绍UPX。通过http://upx.sourceforge.net/#downloadupx可以下载UPX3.91,但是需要翻墙才能正常访问。这里我提供其他下载链接http://download.youkuaiyun.com/detail/cavalier_anyue/9302255
upx工具脱壳
Cfoxer的博客
05-25 3566
1.exeinfope查下壳upx壳无疑2.官方工具脱壳:https://github.com/upx/upx/releases使用命令upx.exe -d。
upx查壳去壳
weixin_63282980的博客
03-24 2077
ELF等文件查壳
使用x64dbg反混淆非托管壳
weixin_34345560的博客
08-01 407
SystemDomain::ExecuteMainMethod处下断点,是一个非常折中的方案,不会过于深入clr内部,也不会随随便便被hook住运行到这里的时候主程序集已经被这些非托管壳还原到对应置为什么这说,请看下图 这是主线程的调用堆栈(我在主线程里运行了消息泵,所以暂停住了)可以看到底端是不知名的地址,应该是TMD之类的壳生成的再向上看,有个clr._CorExeMain和clr._...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值