手脱UPX壳方法介绍

脱壳技术详解
最新推荐文章于 2025-10-14 09:32:52 发布
原创 最新推荐文章于 2025-10-14 09:32:52 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍六种脱壳方法,包括单步跟踪、ESP定律法、2次内存镜像法等,帮助读者理解如何通过不同技术定位OEP,实现脱壳。文章深入探讨了OllyDump插件和LordPE工具的使用,以及脱壳脚本的应用。
方法1:单步跟踪

F8单步跟踪,向上不能让他跳,有loopd循环也一样(跳转的下一行按F4:运行到选定位置,循环loopd在call下一句F4执行)

只允许向下跳,如单步跟踪CALL处程序运行,则需要重载程序,再CALL处F7跟进(近CALL F7,远CALL F8)

pushad 入栈 
popad:出栈 出栈就离OEP不远了
看基址如有大的跳转则为调到OEP,到达OEP后就壳脱壳
 
005791EE    61              popad
005791EF  - E9 98E1EFFF     jmp rmvbfix.0047738C
 
0047738C    55              push ebp
0047738D    8BEC            mov ebp,esp
0047738F    83C4 F0         add esp,-0x10
00477392    B8 2C714700     mov eax,rmvbfix.0047712C                 ; UNICODE "K"
找到OEP后下来就是脱壳,两种方法
1)OD插件OllyDump,
2)LordPE:选择进程->修正镜像大小并完整保存->运行ImportREC输入表重建程序,找进程,OEP改为找到的OPE基址,取后5位,然后自动查找IAT,获取输入表,修复转存文件
注:如遇到SRV病毒,需要脱壳后在导入OD分析,如下位SRV病毒OEP特点
00579080    60              pushad
00579081    BE 00104F00     mov esi,rmvbfix.004F1000
00579086    8DBE 0000F1FF   lea edi,dword ptr ds:[esi-0xF0000]
0057908C    57              push edi
0057908D    83CD FF         or ebp,-0x1
00579090    EB 10           jmp short rmvbfix.005790A2
方法2:ESP定律法
F8单步一下进入下一行,寄存器窗口ESP显示红色,ESP右键 数据窗口中跟随或命令 dd或hr ESP基址来到大跳转->在第一行数值 右键 断点-硬件访问断点 word->F9运行->删除硬件断点,单步直达OEP
dd XXXXX-->ESP地址
hr XXXXX-->ESP地址
 
方法3:2次内存镜像法
m:在区段的程序段.rsrc(第一个.rsrc)下断点,运行,然后在进入m在00401000在下断点运行,F8单步到popad->oep
注意:如在第一个程序区段无.rsrc,则直接在00401000(code)处下断点
 
方法4:一步直达法
不是什么壳都适用。绝大多数UPX和ASPACK
查找popad(取消勾选整个区块),单步到大跳转OEP,可多次查找popad
方法5.最后一次异常法
1.调试选项忽略所有异常

 

载入程序shift+F9运行知道程序运行跑飞,记下次数比如5次,则重新载入按5-1=4次,然后找到如下SE句柄,转到表达式,然后下断点并运行,取消断点然后单步跟踪

 


 

方法6.脱壳脚本

插件-》OdbgScript-运行脚本 打开脱壳脚本,直达OEP(不一定准确,不准时需继续单步)

UPX的几种方法
xiaoyuai1234的博客
05-20 1万+
最近在研究各个脱壳方法,有些心得,和大家分享一下如何UPX 我们的流程是 PEID查 得知的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭我们就在下一行
upx手动脱壳学习笔记
sirrior的博客
11-24 3677
2. 加的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将看作一个加密程序) pop回寄存器的值。(任何的都有一个目的,让程序认为操作系统的环境是透明的,没有受到的阻挡。1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。oep:orignal entry point:未加的程序的真正的入口点,是手动脱壳的目标。
upx手动脱壳
qq_36963214的博客
10-26 7514
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加 upx src.exe -o dst.exe命令将src.exe加并另存为dst.exe upx手动脱壳
UPX实战
junehappylove(王俊伟)的专栏
07-12 1625
UPX 工具:OD(201版), PEiD v0.95,ImportREC v1.7, KMS10.exe(目标PE) 调试系统:WinXP 目标系统:Win10 步骤一:查 步骤二:加载程序,寻找OEP(使用ESP定律法,快速定位OEP) 这里说一下,我用的OD2.0.1版,对于upx这样简单的,直接就分析出了OEP的位置了,如下: 稍微等待一段时间(这个跟OD的配置有关,后面...
UPXUnPacKer:专业UPX脱壳工具实战解析
weixin_42576467的博客
10-14 1337
在逆向工程与二进制分析领域,脱壳(Unpacking)是还原被压缩或混淆的可执行文件原始形态的关键步骤。UPX作为最广泛使用的开源可执行压缩工具之一,其加机制虽公开透明,但在实际应用中常因版本差异、平台适配及人为修改而呈现出复杂多变的特征。为应对这一挑战,UPXUnPacKer应运而生——它是一款专为识别并剥离UPX体设计的专业工具,具备高度自动化、跨平台兼容和灵活策略选择等核心能力。
学习ximo脱壳视频:1、UPX
Jaychouzzk
04-22 450
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95查询到,此程序UPX使用Ollydbg载入程序对于UPX的程序,有四种寻找OEP方法:1.单步跟踪,2.ESP定律,3.一步直达法,4.二次内存镜像法1.使用单步跟踪法找到OEP。使用单步步过(F8)一步一步向下执行,遇到向上跳转的语句,将程序运行到下一句继续执行,再继续单步跟...
手动UPX
webcenterol
02-06 270
手动UPX write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE中的IAT偏移...
脱壳笔记-UPX压缩
走在成长的路上
01-03 2099
upx脱壳学习笔记
逆向入门-脱壳学习第一课-upx
qq_40712579的博客
03-25 908
首先使用peid查 可以看见UPX 然后打开od。 使用单步跟踪法。(只允许向下的跳转,不允许向上的跳转) 点击单步运行,单步向下调试。 如果遇见向上的跳转,就在其下方使用f4设置断点,然后接着运行, (注意:如果此时下方为call代码,就在call代码的下方再设置断点。) 之后,跳到如图所示,为push ebp,即找到入口段 接下来便可以开始脱壳了,三种方法:...
手动UPX 实战
weixin_33797791的博客
08-07 217
作者:Fly2015 Windows平台的加软件还是比較多的,因此有非常多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳。首先第一步就是 查。然后才是 脱壳。 推荐比較好的查软件: PE Detective 、Exeinfo PE、DIE工具。   须要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52poji...
UPX脱壳
Zbw_OIer的博客
11-28 1814
什么是加是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加一般分为两类,一种是加密加,其目的就是为了防止逆向而存在的一种。另外一种就是压缩,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩UPX脱壳可执行文件 UPX sample.exe 脱壳执行文件
upx(脱壳工具)
10-29
upx(脱壳工具)
脱壳(初学)-- UPX及一点疑问
keweidong888的专栏
03-21 1506
初学脱壳破解,趁热动实践,提上几个作为菜鸟的疑问,希望大神们指导
简单脱壳教程笔记(3)---UPX(2)
oBuYiSeng的博客
03-18 6295
我们接着上一篇   ”简单脱壳教程笔记(2)---UPX(1)“继续。我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式。         方法2:ESP定律法             ESP是我们的是一个寄存器,当程序使用pushad命令入栈的时候,只会让esp突变,根据堆栈平衡的原则,我们就可以找到OEP了。
upx脱壳手动
weixin_45574485的博客
08-28 3107
1.upx脱壳几乎可以算是最简单的了,第一步还是查 2.第二步当然是od打开,提示解析代码,是和否都可以,然后f8,打硬件断点。 3.此时再f9执行到硬件断点,可以看到popad,代码到这基本上结束了,后面就是oep。在下面的一个大跳jmp处断点,然后取消硬件断点,f9到断点。 4.然后f8过去,可以看到如下画面。此处作为oep,可以开始进行脱壳 5.右键——使用od调试进程 6.复...
手动UPX脱壳演示
qq_41426887的博客
07-03 7219
首先,用PEid打开加后的程序CrackmeUPX.exe,可以发现使用的是UPXUPX是一种比较简单的压缩,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
UPX手动脱壳
宇丁加
07-07 453
就是一道逆向的简单脱壳题, 由UPX加的。然后就要进行脱壳, 想着手动脱壳 熟悉一下UPX的原理。 首先UPX就是压缩原程序的大小。 UPX就是在 原程序部或者 其他地方插入一段代码,这段代码是用来解析后面被加密的代码(这种加密使原来的代码量变小)。 1是插入的代码,234是 被加密的代码,56是其他 1 2 3 4 5 6 1 7 8 9 5 6 789是原代码。 在程序执行时,通过1处的代码对后面的代码进...
手动UPX的几种方法
十年磨一剑,霜刃未曾试!
05-05 5784
UPX是一种常见的压缩。通过PEID检测到是UPX的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法。1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置。要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到的循环当中,就出不来了。运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret。跳转之后的代码是popad,一般就是到
简单upx
2303_79610394的博客
09-18 493
一个入门的upx
upx怎么
最新发布
11-19
<think> 我们正在讨论如何手动UPXUPX是一种常见的可执行文件压缩工具,加后的程序在运行时会在内存中解压缩原始代码并执行。脱壳的目标是恢复原始程序的代码(即到达OEP,原始入口点),以便进行进一步的分析或修改。 根据引用内容,UPX的常见方法有: 1. 硬件断点法(利用PUSHAD/POPAD) 2. 单步跟踪法(F8单步步过,注意跳转方向) 3. 内存镜像法(在内存中设置断点) 4. ESP定律法(利用堆栈平衡) 下面我将详细介绍这些方法,并整合引用中的信息: ### 1. 硬件断点法(快速方法) - 原理:UPX在开始解压前会保存所有通用寄存器(PUSHAD指令),在解压完成后恢复(POPAD指令)。我们可以在压入寄存器的栈地址设置硬件断点,当执行POPAD时触发断点,从而快速到达跳向OEP的指令附近。 - 步骤: a. 用调试器(如OllyDbg, x64dbg)加载加程序,停在入口点(EP)。 b. 单步执行到`PUSHAD`(将所有寄存器压入堆栈),此时在堆栈窗口中可以看到压入的寄存器值。 c. 在堆栈中找到任意一个寄存器的存储地址(例如EAX对应的地址),在该地址上设置硬件写入断点(因为POPAD时会写入该地址)。 d. 运行程序(F9),程序会在POPAD之后中断。 e. 此时附近会有一个大的跳转(JMP)指令,执行该跳转就会到达OEP。 ### 2. 单步跟踪法(传统方法) - 步骤: a. 加载程序,停在EP。 b. 一直按F8(单步步过),注意观察跳转指令。 c. 如果遇到向上的跳转(通常是循环),则在该跳转指令的下一行按F4(运行到指定位置),避免进入循环。 d. 保持程序执行方向向下,直到遇到一个较大的跳转(如长跳转JMP或RET),跳转后通常能看到`POPAD`指令,然后到达OEP。 ### 3. 内存镜像法 - 原理:在程序解压代码到原始节区(如UPX0)时,通过在该节区设置内存访问断点,当代码解压完成并执行到原始代码时触发断点。 - 步骤: a. 加载程序,停在EP。 b. 在内存映射窗口中找到UPX0节区(通常是第一个节区,具有内存读写权限但磁盘大小为0)。 c. 在UPX0节区上设置内存访问断点(执行断点)。 d. 运行程序,当解压代码写入UPX0并开始执行原始代码时,调试器会中断在OEP附近。 ### 4. ESP定律法 - 原理:利用堆栈指针(ESP)在PUSHAD后的变化,在堆栈地址设置硬件访问断点。 - 步骤: a. 在EP执行PUSHAD后,观察ESP的值(堆栈指针会减少0x20,32位程序)。 b. 在ESP指向的地址设置硬件访问断点(写或读,通常设置写断点)。 c. 运行程序,当程序修改堆栈(如执行POPAD)时,断点触发。 d. 然后单步跟踪到跳向OEP的指令。 ### 注意事项 - 脱壳后,使用Scylla、OllyDump等插件将内存中的程序转储到文件,并修复导入表(IAT)。 - UPX通常不会加密,所以脱壳相对简单。但要注意版本差异,不同版本的UPX可能有细微差别。 ### 脱壳步骤总结 1. 找到OEP(使用上述方法之一)。 2. 转储进程内存(Dump)。 3. 修复导入表(因为加程序会修改导入表,使其指向的加载函数,需要修复为原始API地址)。 4. 重建PE文件(可选,有些工具在转储时会自动重建)。 ### 示例(硬件断点法) 以引用[2]为例: - 入口点:`PUSHAD` - 堆栈窗口:找到压入的寄存器,例如EAX的地址(0x000DFF64)。 - 在该地址设置硬件写入断点。 - 运行(F9),程序中断在`POPAD`之后。 - 执行后面的`JMP`指令,到达OEP。 §§相关问题§§ 1. 如何修复脱壳后的程序导入表? 2. 如何识别不同版本的UPX? 3. 脱壳后转储进程内存的工具有哪些? 4. 如何应对UPX的变种或修改版? </think>### 手动UPX方法总结 根据引用内容,UPX是常见压缩脱壳核心是找到原始入口点(OEP)。以下是四种主流方法: #### 1. **硬件断点法(推荐)** [^2] - **原理**:利用`PUSHAD`保存寄存器和`POPAD`恢复寄存器的特性 - **步骤**: 1. 在入口点执行到`PUSHAD`后暂停 2. 在堆栈窗口找到压入的寄存器地址(如EAX地址) 3. 对该地址**设置硬件写入断点** 4. 运行程序(F9),中断在`POPAD`指令后 5. 执行紧随其后的`JMP`指令即到达OEP - **优势**:快速准确,适用于大多数UPX版本 #### 2. **单步跟踪法** [^3][^4] - **步骤**: 1. OD加载程序,选择"否"跳过压缩代码分析 2. 持续按`F8`单步步过 3. 遇到**向上跳转**(红色箭)时: - 在跳转指令下一行按`F4`(运行到光标) - 避免进入解压循环 4. 最终定位到`POPAD`后的大跳转(JMP/RET) - **特征**: - 需经过多次解压循环(通常3-4轮) - 最后一轮解压后出现跨段跳转 #### 3. **ESP定律法** - **原理**:利用堆栈指针平衡特性 - **步骤**: 1. 入口点执行`PUSHAD`后 2. 寄存器窗口右键ESP值 -> **HW breakpoint [Write]** 3. 运行程序(F9)中断后 4. 单步跟踪到OEP跳转 #### 4. **内存断点法** - **步骤**: 1. 加载程序后,在内存映射窗口 2. 定位UPX0节区(磁盘大小=0的节) 3. 右键设置**Memory on access**断点 4. 运行后中断在解压代码写入位置 5. 单步跟踪至OEP ### 关键特征识别 1. **入口点特征**: ```assembly PUSHAD ; 保存所有寄存器 MOV ESI, <压缩数据地址> LEA EDI, [ESI-<偏移值>] ``` 2. **解压循环**: - 多轮循环结构(常见4轮) - 包含`LODSB`/`STOSB`等串操作指令 3. **OEP跳转标志**: ```assembly POPAD ; 恢复寄存器 JMP <OEP地址> ; 跨段长跳转(通常0x0040xxxx) ``` ### 工具推荐 - Windows:OllyDbg(OD) + Scylla插件 - Linux:GDB配合脚本 - 自动化:UPX -d(仅适用于未修改版本)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值