学习记录—几种脱壳方法:

最新推荐文章于 2025-01-07 11:37:28 发布
原创 最新推荐文章于 2025-01-07 11:37:28 发布 · 376 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #网络安全

本文介绍了针对不同类型的PE壳,如UPX、FSG1.0和PECompact1.68,进行静态分析和动态调试的步骤,包括使用Peid识别壳特征,通过ida寻找OEP,设置断点,分析ESP变化,以及利用dump和importrec工具修复入口点。

一、

1、Peid识别到区段表符合upx壳的特征
在这里插入图片描述

2、尝试找OEP入口点,尾部跳转指令 jmp or return (一串无效字节前最后一条有效指令,脱壳存根指向OEP)。这里发现了尾部跳转指令(寻找过程不理会向上跳转的)
在这里插入图片描述
3、Ida无法识别尾部跳转,一般会标记错误
在这里插入图片描述
4、F2下断点 执行过来
在这里插入图片描述
5、F8单步步过 发现了oep(如果无法识别右键 分析—>分析代码)
在这里插入图片描述
6、右键dump debugged process,设置下入口点 然后dump
在这里插入图片描述
7、直接打开improt rec,选择对应进程,修改oep,单击iat自动搜索
在这里插入图片描述
8、获得输入信息->修复抓取文件
在这里插入图片描述
二、

1、peid识别到fsg1.0壳子
在这里插入图片描述
2.使用插件定位OEP
在这里插入图片描述
三、

1、Peid识别到pecompact1.68壳子
在这里插入图片描述
2、Pushfd pushad 用于保存所有寄存器和标志位信息。跳转到oep之前再恢复所有信息,可以在栈上下硬件断点尝试定位。
在这里插入图片描述
3、运行到call处,右键esp在数据窗口中跟随
在这里插入图片描述
4、选中前四个字节下硬件访问断点
在这里插入图片描述
5、执行且F8
在这里插入图片描述
在这里插入图片描述
附:

esp红色说明栈顶值有更改
在这里插入图片描述

CrackMe020:脱壳 + DarkDe分析
可乐松子的博客
05-25 840
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.程序基本信息2.脱壳方法 1.PEiD通用脱壳方法 2.OllyDump脱壳3.DarkDe分析4.IDA分析5.验证结果6.参考 1.程序基本信息 程序输入验证没有提示信息,猜测应该是输入序列号后会生成注册码,当注册码等于3E74984B时,逆向才算成功 查壳可以看到,有一个WWPac
*** PEid插件——Generic OEP Finder 原理分析 ***
老裴
07-31 2175
***    PEid插件——Generic OEP Finder 原理分析    ***   PEid的这个小插件用了很久了,一直觉得功能不错,准确率也挺高的,自己在写壳的过程中也曾尝试避开其检测,但一直没有成功,于是抽了些时间看看它的实现原理,这才恍然大悟。   下面是这个插件的一级输出函数:10001870 ; Exported entry   1. DoMyJob1000187010001
手脱各种常见壳
最新发布
欢迎来到我的博客
01-07 2454
进入第二个call然后F8单步跟踪,当遇到向下的跳转时就让它跳转,如果是遇到向上跳转就用F4运行到它的下一条指令处(与upx单步跟踪脱壳法一样)用od加载程序,用F8单步跟踪法当遇到向下的跳转时就让它跳转,如果是遇到向上跳转就用F4运行到它的下一条指令处(与upx单步跟踪脱壳法一样)当遇到这个jmp指令的时候会发现用F4运行到它下一行指令程序就已经开始运行了,所有我们要让它实现跳转(这个循环就是在修正IAT表)通过不断的单步跟踪会发现popad(出栈)指令然后用jmp跳转到真正的代码处。
软件脱壳技术(手动脱壳教程)
LH1013886337的博客
12-08 3391
手动脱壳教程在第二部分,下面是例子。
脱壳方法..待续
爱杀之爪的矩阵
08-17 538
一.脱壳基础知识要点1.PUSHAD :(压栈) 代表程序的入口点2.POPAD  :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了.3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP.            二.脱壳调试过程中辨认快到OEP的简单方法下面二个条件是快到OEP的共同现象:若出现下面情况时,说明OEP就要到了:1. OD跟踪过
安卓逆向学习笔记之FART中的脱壳点.docx
03-25
5. **openCommon 脱壳点**:此外,文档中还提到了一个名为`openCommon`的脱壳点,这可能指的是在多个场景下通用的一种脱壳方法,但具体实现细节需要进一步研究。 #### 五、脱壳点的优劣判断 判断一个脱壳点的好坏...
NetUnpack dotnet脱壳工具:7天精通新手入门指南
本文详细介绍了NetUnpack工具,一个专门针对.NET程序设计的脱壳工具,其具有强大的反混淆和代码还原功能。通过概述.NET程序和壳技术,以及深入探讨NetUnpack的安装、基本使用和高级技巧,本文旨在为开发者提供一个...
安卓逆向学习笔记之Dalvik下dex加载流程和通用脱壳点.docx
03-21
### 安卓逆向学习笔记之Dalvik下dex加载流程和通用脱壳点 #### Dalvik环境下DEX文件的加载流程 在深入理解Android应用程序的工作原理时,了解Dalvik虚拟机如何加载和执行DEX(Dalvik Executable)文件是至关重要的...
安卓逆向学习笔记之ART下dex加载流程和通用脱壳点.docx
03-22
### 安卓逆向学习笔记之ART环境下DEX加载流程与通用脱壳点解析 #### 一、概述 本文档旨在深入探讨安卓应用在ART(Android Runtime)环境下的DEX文件加载流程,并结合具体案例分析常见的脱壳点。对于从事安卓逆向...
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 1万+
历史:壳是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
查壳、加壳、脱壳详细教程
m0_59856804的博客
11-15 8977
查壳、加壳、脱壳详细教程 PEID工具的使用 UPXShell工具的使用
简单脱壳教程笔记(2)---手脱UPX壳(1)
热门推荐
oBuYiSeng的博客
03-18 1万+
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%
脱壳(初学)-- 手脱UPX壳及一点疑问
keweidong888的专栏
03-21 1506
初学脱壳破解,趁热动手实践,提上几个作为菜鸟的疑问,希望大神们指导
简单脱壳教程笔记(6)---手脱FSG壳
oBuYiSeng的博客
03-19 4534
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.youkuaiyun.com/detail/obuyiseng/9465972 简介: FSG壳是一款压缩壳。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:04.手脱FSG壳.rar 寻找OEP
免杀|PEiD查壳、脱壳+汉化+工具打包
SurpassLi的专栏
04-08 1578
一、加壳 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是隐藏程序真正的OEP(入口点,防止被破解,查壳就是为了找它),类似于动物界的龟壳。大多数病毒就是基于此原理。 加壳可以绕过一些杀毒软件的扫描(免杀) 加壳工具通常分为:压缩壳和加密壳两类。 压...
PEID0.95脱壳
谢绝(无视)留言与私信
10-09 1467
前言手里PEID是52pj版的, 想看看PEID算法扫描插件调用时的函数调用, 应该就是标准的DoMyJob函数,不过还是想看看. 原版PEIDFrom52Pj是加壳的, 有UPX段,应该是UPX压缩壳, 准备手脱.调试记录PEID脱壳EP004982B0 > 60 pushad 004982B1 BE 00404600 mov esi,PEiD.0046
PE文件的简单加壳和脱壳(UPX和PEiD)
qq_29566629的博客
02-12 4870
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件。 加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,
对一个加壳的可执行文件进行脱壳三种方法
任浩的博客
02-03 2313
1、自动静态脱壳:通过一些脱壳工具即可,相当于解压缩,最为方便快捷 2、自动动态脱壳:运行可执行文件,让脱壳存根的的文件脱出原始的可执行文件。 3、手动脱壳:找到加壳算法程序,自己分析源程序进行脱壳。 ...
逆向入门-脱壳学习第一课-手脱upx壳
qq_40712579的博客
03-25 907
首先使用peid查壳 可以看见壳为UPX 然后打开od。 使用单步跟踪法。(只允许向下的跳转,不允许向上的跳转) 点击单步运行,单步向下调试。 如果遇见向上的跳转,就在其下方使用f4设置断点,然后接着运行, (注意:如果此时下方为call代码,就在call代码的下方再设置断点。) 之后,跳到如图所示,为push ebp,即找到入口段 接下来便可以开始脱壳了,三种方法:...
独家揭秘:创新脱VMP技术两种方法介绍
它可能涉及以下几种方法: 1. 静态分析:尝试直接分析虚拟机的代码,而无需运行它。 2. 动态分析:通过运行虚拟机来分析其行为。这可能需要跟踪和记录虚拟CPU的每一步操作。 3. 模拟器:创建一个模拟器来模拟VMP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值