运行时压缩(UPX)

最新推荐文章于 2025-07-13 10:40:14 发布
最新推荐文章于 2025-07-13 10:40:14 发布
阅读量4.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 逆向 文章标签: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SKI_12/article/details/80611969
本文详细介绍了运行时压缩器的工作原理,特别是以UPX为例,探讨了如何压缩notepad.exe并分析其解压过程。通过设置断点和观察内存复制循环,揭示了解压缩代码如何在内存中重建原始程序。最后总结了两种快速查找UPX压缩程序OEP(Original Entry Point)的方法,包括在POPAD指令后的JMP指令处设置断点以及利用硬件断点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

任何文件都是由二进制组成的,因而只要使用合适的压缩算法,就可以是文件大小进行压缩。

无损压缩:经过压缩的文件能完全恢复。如7-zip、面包房等压缩程序。

有损压缩:经过压缩的文件不能完全恢复。压缩多媒体文件时大部分使用有损压缩。

运行时压缩器:

运行时压缩器(Run-Time Packer)是针对可执行文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间在内存中解压缩后执行。

运行时压缩文件也是PE文件,内部含有原PE文件与解码程序,在程序的EP代码中执行解码程序,同时在内存中解压缩后执行。

与普通压缩器相比,运行时压缩器的明显区别是PE文件的可运行性。

把普通的PE文件创建成运行时压缩文件的程序称为压缩器,经反逆向技术处理的压缩器称为保护器。

PE压缩器是指可执行文件的压缩器,其目的主要是缩减PE文件大小、隐藏PE文件内部代码与资源。

PE保护器是一类保护PE文件免受代码逆向分析的实用程序,应用了如反调试、反模拟、代码混乱、多态代码、垃圾代码、调试器监视等技术,通常用于防止破解、保护代码与资源等。

普通压缩和运行时压缩的比较如下表:


这里使用UPX压缩器,对notepad程序进行压缩:


可以看到,notepad文件经压缩后大小缩减了35231。

运行时压缩比普通的ZIP压缩的压缩率较低,原因在于压缩后仍是PE文件,需要添加PE头和放入解压缩代码。

使用PEView查看该文件:

最低0.47元/天 解锁文章

200万优质内容无限畅学
逆向工程核心原理》第14.15章——运行压缩、调试UPX压缩的notepad.ex程序
diamond_biu的博客
12-14 973
运行压缩数据压缩运行压缩压缩器保护器运行压缩测试——notepad.exe为例比较notepad.exe与notepad_upx.exe文件调试UPX压缩的notepad.exe程序notepad.exe的EP代码 数据压缩 无损压缩(Lossless Data Compression):压缩的文件能够100%恢复。如Run-Length、Lempel-Ziv、Huffman。 有损压缩(Loss Data Compression):压缩的文件不能恢复原状,会损失一定信息,常用于多媒体文件。 运
UPX(EXE文件压缩器)
05-31
打包常用的工具,上传到优快云,防止丢失,赚取积分,方便大家,有问题联系我
UPX压缩技术:源代码压缩与优化
最新发布
weixin_42284380的博客
07-13 544
在现代软件开发领域,UPX(Ultimate Packer for eXecutables)已成为一个不可或缺的工具,尤其对于那些关注于提高软件分发效率以及优化用户体验的开发者来说。UPX是一个开源的可执行文件压缩工具,它可以显著减小各种可执行文件的体积,不仅加快了软件的分发速度,还节省了用户的下载间和带宽资源。UPX的作用远不止于压缩。通过它的压缩机制,UPX可以保护软件免遭轻易的逆向工程攻击,为软件开发公司提供了一个有效的安全屏障。
upx(Version 3.03)
06-25
UPX的壳可以用其自身命令脱: upx -d 文件名
完整的UPX软件——用于压缩应用程序
09-01
UPX软件是专门对.exe应用程序进行脱壳压缩的,可以压缩50%到70%,但不影响应用程序的性能。这个版本是最完整的UPX软件,比其他版本要全。
upx(脱壳工具)
10-29
upx(脱壳工具)
压缩代码UPX 可以vc运行
09-02
压缩过程中,UPX并不会改变程序的内部结构或执行流程,而是通过优化内存映射和代码解压机制,使得程序在运行能够自动解压缩到内存并执行。因此,使用UPX压缩后的程序在运行效率上可能略有下降,但通常影响...
UPX.v3_rar压缩源码_UPX_UPX算法_Vc_
10-03
这种压缩方式使得程序在运行能够自动解压到内存中,因此不会影响程序的正常执行。UPX支持多种文件格式,包括PE(Portable Executable,Windows下的可执行文件格式)、NE(New Executable,老版本Windows的格式)、...
UPX 压缩图形工具(2023-02-14)
02-14
3. 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行间或内存的不利后果。 4. UPX 支持许多不同的可执行文件格式 包含 Windows 程序和动态链接库、DOS ...
强大UPX加壳压缩工具(Free UPX) v1.7汉化版.rar
07-09
UPX 加壳压缩工具绿色版本,无需安装,Free UPX1.4,在编程开发过程中我们可以利用其对EXE, DLL, OCX, BPL, CPL 等格式文件加壳,使用方便快速、而且是免费的! UPX(the Ultimate Packer for eXecutables)是一个非常全面的可执行文件压缩软件,支持dos/exe、dos/com、dos/sys、djgpp2/coff、 watcom/le、win32/pe、rtm32/pe、tmt/adam、atari/tos、linux/i386等几乎所有平台上的可执行文件, 具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较,Free UPX 1.0是它的外壳程序。较其他外壳程序,此工具的可选参数更多.个人感觉,压缩,解压缩也更稳定 汉化说明: 二次汉化修正  9/21/2010 由于本人的疏忽导致上传的候误传了未完全修正的版本,现在补传已经完全修正的版本,对于给大家造成的不便,深感抱歉. 我保证这样的情况不会再有下一次了. 汉化修正 9/20/2010 * 更改程序界面的字体为宋体,并适当调整字号大小 * 更正两处翻译错误 * 修正一处翻译不准确的地方 * 其它一些字面上小的改动
UPX Graphical
12-22
UPX 是一款免费的可执行文件压缩工具 <br>而 UPX Graphical 则是包含 UPX 2.01(2006.06.06)UPX 1.93 beta <br>以及一组特征码混淆器(Scrambler): UPoly+UPXScrambler 的 UPX 前端 <br>支持拖放及外壳扩展,具备一些高级特性,完全免费。 <br>
UPX工具---超级压缩工具---亲测可用
12-27
是一个非常全面的可执行文件压缩软件,支持 dos/exe、dos/com、dos/sys、djgpp2/coff、 watcom/le、win32/pe、rtm32/pe、tmt/adam、atari/tos、linux/i386 等几乎所有平台上的可执行文件,具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较。
UPX 3.9.1 windows
01-29
UPX是一个著名的压缩壳,主要功能是压缩PE文件(比如exe、dll等文件),有候也可能被病毒用于免杀.壳upx是一种保护程序。一般是EXE文件的一种外保护措施。UPX是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的间和其它分布以及存储费用。通过UPX压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行间或内存的不利后果
upxUPX-可执行文件的终极打包器
02-18
upxUPX-可执行文件的终极打包器
upx.exe及说明文件
08-01
UPX the Ultimate Packer for eXecutables 是一款先进的可执行程序文件压缩压缩过的可执行文件体积缩小50% 70% 这样减少了磁盘占用空间 网络上传下载的间和其它分布以及存储费用 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行 对于支持的大多数格式没有运行间或内存的不利后果 UPX 支持许多不同的可执行文件格式 包含 Windows 95 98 ME NT 2000 XP CE 程序和动态链接库 DOS 程序 Linux 可执行文件和核心 ">UPX the Ultimate Packer for eXecutables 是一款先进的可执行程序文件压缩压缩过的可执行文件体积缩小50% 70% 这样减少了磁盘占用空间 网络上传下载的间和其它分布以及存储费用 通过 UPX 压缩过的程序和程序库完全没有功 [更多]
VC 基于UPX算法的压缩软件源码.rar
07-10
VC 基于UPX算法的压缩软件源码,据说在国外也是很有名的RAR软件,无损压缩质量很好,而且压缩比很大,可减少原文件体积60%以上,源码基于C ,仅供参考。
运行压缩
wk19951125的博客
02-12 378
运行压缩数据压缩无损压缩有损压缩运行压缩压缩器保护器运行压缩测试调试notepad.exe的EP代码notepad_upx.exe的EP代码参考文献 数据压缩 无损压缩 无损压缩:经过压缩的文件能100%恢复 有损压缩 有损压缩:经过压缩的文件不能恢复原状,压缩多媒体文件大部分使用有损压缩 运行压缩运行压缩器:针对可执行文件而言,可执行文件内部含有解压缩代码,文件在运行瞬间于内存...
脱壳-UPX
weixin_43657323的博客
07-10 917
首先需要准备一个新鲜的upx壳还有exeinfo和OD。 exeinfo看是什么壳,可以看到这是一个upx的壳。 然后放到OD里面 一、单步跟踪 按F8,或者反汇编区上面的下箭头进行单步调试 看到十六进制区域出现红色的箭头,说明出现跳转,按F8,直接跳转到箭头指向处,继续单步调试 出现上箭头,我们不让他跳回,选择(005790AB)地址按F4(右键,断点,运行到指定位置),运行到指定位置,...
逆向工程——调试upx压缩的notepad程序
周星星的博客
10-27 1381
一. 比较notepad.exe与notepad_upx.exe的EP代码 notepad.exe: 程序的EOP在0100739D处,在010073B2处调用函数getModuleHandleA()API,获取notepad.exe的Imagebase。然后在010073B4和010073C0处比较MZ和PE签名,这部分的EP代码很重要,后面分析notepad_upx.exe会进行比较,也方便找到真正的程序的OEP。 notepad_upx.exe: 在地址01015330处是压缩之后的第二节部分,
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值