逆向---脱壳技巧

原创已于 2024-12-20 21:49:10 修改 · 888 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

于 2024-12-16 16:05:57 首次发布

逆向专栏收录该内容

4 篇文章

订阅专栏

1.esp定律

步过pushad,esp寄存器下硬件断点，遇到jmp或者retn跳转到OEP

2.单步跟踪

一直F8步过遇到向上跳转的F4跳到当前位置，注意不要跑飞。

3.两次断点脱壳

1.OD载入程序，并打开【选项】-> 【调试选项】 -> 【异常】 -> 【忽略所有异常】。

2.不要运行程序，直接按下【Alt+ M】切换到以下模块，选择.rsrc资源，并下一个【F2】断点。

3.接着按下【Shift+F9】，然后再次按下【ALT+M】，再次来到了这个位置，我们在【00401000】处下一个【F2】断点。

4.最后一次异常

自解压或自解密过程中, 可能会触发无数次的异常. 如果能定位到最后一次程序异常的位置, 可能就会很接近自动脱壳完成位置.

调试选项异常全部取消，【Shift+F9】定位到异常次数-1,看异常句柄单步调试。

5.SPX

调试选项->SFX->字节方式跟踪，然后查看左下角信息提示进度。时间效率比较慢。

6.模拟跟踪

OEP所在区段一般位于第一个区块处，而壳代码一般位于后几个区块

tc/toc命令是跟踪步进/步过直到满足条件就暂停程序， toc eip < “SFX，输入表，资源”位置处的基地址。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

1157870419

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Android逆向：Android脱壳技术简介与实战详解

数据知道的博客

03-01

7365

在Android应用开发中，为了保护代码和资源，开发者通常会使用加壳技术对APK进行加密和保护。脱壳技术则是逆向工程中的一种重要手段，用于去除这些保护层，还原出原始的DEX文件和资源文件。脱壳技术是Android逆向工程中的重要手段，通过静态和动态脱壳方法，开发者可以去除应用的保护层，还原出原始的DEX文件和资源文件。本文详细介绍了脱壳技术的原理、工具、实战应用、常见问题与解决方案，以及安全与风险。通过掌握脱壳技术，开发者可以更高效地进行逆向工程和安全研究。

不破不立的app逆向-复现

BadRer的博客

10-02

1017

前言偶然间看到的一篇漏洞分析报告，觉得挺有意思的，而且靶场的环境都还在，所以自己也来复现一把，体验下如何进行app的漏洞挖掘！开始获取目标靶场的入口地址首先是一个web页面可以看到是一个妹子，而且给的提示已经很直接了，注意一下哦，这是app的漏洞挖掘哦，所以找一下网站下是否有app。 kali下进行目录扫描，不过查看源代码便可以看到app的下载路径分析测试接下来我们就需要对该app...

参与评论您还未登录，请先登录后发表或查看评论

博客中使用的脱壳实验材料

10-13

博客中使用的脱壳实验材料

逆向——脱壳

wk19951125的博客

05-06

933

逆向——脱壳有壳和无壳的区别壳的类型区别脱壳的关键寻找OEP寻找大跳转SFX功能定位OEP内存执行定位OEPESP定律VB程序快速定位OEP最后一次异常法定位OEP利用壳常用函数来定位OEP参考文献 #脱壳有壳和无壳的区别壳的类型压缩壳加密壳虚拟机壳区别入口点改变区段信息改变代码段程序隐藏加壳程序修改后无法保存运行后，恢复的程序会将修改的内容覆盖脱壳的关键寻找OE...

软件逆向工程核心技术：脱壳原理与实战分析

攻城狮7号的博客

05-08

1646

在软件保护领域，"壳"是一种常见的程序包装技术，其核心功能是通过压缩或加密手段对原始程序（目标程序）进行保护。脱壳，即**外壳移除（Unpacking）**，是逆向工程中至关重要的技术环节，指通过分析PE文件结构、跟踪壳代码执行流程，最终将被保护程序还原为可正常分析的原始形态的过程。这项技术不仅是软件安全审计的基础，也是恶意代码分析、软件版本回溯的关键手段。脱壳技术不仅是逆向工程的基础技能，更是理解软件保护机制的关键窗口。

逆向：初识脱壳

yan_star的博客

11-24

1898

逆向：初识脱壳

逆向基础-脱壳

AppWhite_Star的博客

07-30

2206

逆向基础-脱壳

逆向学习1-[脱壳技术]/篇1

m0_52343643的博客

04-21

3128

壳壳是包裹在程序外的一层代码，通常先于程序执行，达到防止源程序不被非法修改或反编译的目的壳的分类壳分为压缩壳和加密壳压缩壳压缩壳主要是帮助减少PE文件（Windows下的文件格式）大小，隐藏PE文件内部的代码和资源常见的压缩壳有：Upx、ASpack、PECompat 加密壳加密壳应用有多种防止代码逆向分析的技术，用该壳的PE文件会比原文件大很多，有时恶意程序也用加密壳来降低杀毒软件的扫描常见的加密壳有：ASProtector、Armadillo、EXECryptor、T.

逆向脱壳入门

壊壊的诱惑你的博客

05-21

1030

两个入门级的脱壳的CTF题目，记录一下。一、逆向脱壳入门题目 1.nSpack壳先用IDA打开看看：可以看到有壳，而且解析出来的函数很少，对脱壳后的文件如下：可以看到多出了很多函数。用ESP定律进行脱壳，OD打开软件后如图：可以看到了pushad，压入所有寄存器入栈，F8到调用的函数下在右边的ES...

逆向分析脱壳技巧总结

10-30

### 逆向分析脱壳技巧总结 #### 一、脱壳基础知识要点在逆向工程领域，脱壳是一项重要的技能，尤其是针对那些被加壳保护的软件。了解基础概念是开始学习脱壳的第一步。 - **PUSHAD**: 这条指令通常用于保存程序...

压缩壳逆向：UPX加密壳在CTF中的自动化脱壳技巧.pdf

最新发布

06-16

文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位，文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常，无任何异常情况，敬请您放心查阅与使用。文档仅供学习参考，请勿...

脱壳的艺术（逆向工程、壳、保护、反调试、反逆向）

11-20

网上找到的关于脱壳的介绍，发出来让大家共享

Android逆向-实战sign分析-某某合伙人_v4.0.9

哔_哩哩!的博客

06-13

4427

1.基础分析 1.1.基础分析工作中经常会对一些app进行安全审计，一般在拿到应用后可以使用APK Helper工具对应用做个简单分析，了解目标的包名，版本号，名称等基础信息，之后再安装到手机上熟悉下应用的业务，该应用属于哪类app，之后就是思考业务上可能存在的攻击点。本次目标是一个电商应用，简单使用后可知应用存在登录，购买，支付等众多攻击点，这里我们就从登录入手。登录逻辑的常见审计思路有： 1.审计客户端与服务端交互时是否直接将用户名密码进行明文传输。 2.客户端是否将用户登录的错误分开提醒如单独提

逆向脱壳——基本知识

weixin_30297281的博客

06-03

898

基本知识加壳程序 1、壳是什么？加壳是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码，要经过脱壳才可以查看源代码。 2、加壳的原理是什么？壳是怎么运作的？加壳是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windo...

Android逆向——脱壳解析

鸿蒙的技术博客

09-11

2328

壳”是一种对程序进行加密的程序，“壳”形象地表现了这个功能。我们可以把被加壳的程序当成食物，而加壳程序就是在外面加上一层坚硬的外壳，防止别人去窃取其中的程序。加壳后的程序依然可以被直接运行。在程序运行时壳的代码先运行，然后再运行原来的程序。主要目的是为了隐藏程序的OEP（入口点），防止外部软件对程序的反汇编分析或动态分析。许多病毒通过加壳来达到免杀的目的，但壳也用在保护正版软件不被破解。

逆向基础：软件手动脱壳技术入门

2401_84206094的博客

05-28

2167

最后一次异常法的原理是，程序在自解压或自解密过程中，可能会触发无数次的异常。如果能定位到最后一次程序异常的位置，可能就会很接近自动脱壳完成位置。现在最后一次异常法脱壳可以利用Ollydbg的异常计数器插件，先记录异常数目，然后重新载入，自动停在最后一次异常处。

逆向基础——软件手动脱壳技术入门

weixin_34248118的博客

03-08

849

YHZX_2013 · 2015/09/07 14:06这里整合了一下之前自己学习软件手工脱壳的一些笔记和脱文，希望能给新学软件逆向和脱壳的童鞋们一点帮助。1 一些概念1.1 加壳加壳的全称应该是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。加壳是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效...

逆向工程之App脱壳

weixin_30455661的博客

02-05

500

本篇博客以微信为例，给微信脱壳。"砸壳"在iOS逆向工程中是经常做的一件事情，，因为从AppStore直接下载安装的App是加壳的，其实就是经过加密的，这个“砸壳”的过程就是一个解密的过程。未砸壳的App是无法在Class-dump、Hopper等工具中使用的。所以我们要将App进行砸壳处理。在Android开发中也存在App加壳的处理，比如什么360加固了，其实就是给App加一层壳。转...

Frida-dexdump 脱壳脚本

03-08

<think>好的，我现在要介绍Frida-dexdump这个脱壳脚本。首先，得了解用户可能对Android应用逆向和脱壳不太熟悉，所以需要从基础讲起。然后，分步骤解释Frida-dexdump是什么，它的原理、使用步骤、优缺点，以及实际应用中的注意事项。用户可能需要知道为什么需要脱壳，比如分析恶意软件或进行安全审计。要提到常见的加固服务如梆梆、360加固，以及Frida-dexdump如何应对这些保护措施。然后，详细说明Frida-dexdump的工作原理，基于Frida的动态插桩技术，在内存中搜索DEX文件并导出。这部分要确保技术细节准确，但不过于晦涩。接着是使用步骤，包括安装Frida和frida-dexdump，设备环境准备，运行命令，以及可能需要的参数调整。要提醒用户可能需要root或模拟器环境，以及如何确认脱壳成功。还要提到常见问题，比如多个DEX文件的情况，或者内存中DEX损坏的情况，如何处理。优缺点方面，强调动态脱壳的有效性，但也要指出依赖运行环境和可能遗漏的情况。注意事项部分要提到法律和道德问题，确保用户明白合法使用的重要性。最后，总结Frida-dexdump在安全研究中的作用，并推荐进一步的学习资源。需要检查是否有遗漏的关键点，比如是否需要配置Python环境，或者Frida版本兼容性问题。还要确保命令示例正确，比如安装命令是pip install frida-dexdump，运行命令是frida-dexdump -U -f com.example.app。可能还需要提到其他工具对比，如DumpDex或Xposed模块，但Frida-dexdump的优势在于灵活性和动态分析能力。最后，确保语言通俗易懂，结构清晰，分点说明，便于用户跟随。避免使用过多专业术语，必要时进行解释。比如解释DEX文件是Android应用的字节码，脱壳就是从内存中提取被加固保护隐藏的代码。这样用户即使没有相关背景也能理解基本概念。</think>Frida-dexdump 是一款基于动态注入框架 **Frida** 开发的 Android 应用脱壳工具，主要用于从内存中提取被加固保护的 DEX 文件。以下是逐步解析： --- ### 一、脱壳原理 1. **动态注入** 通过 Frida 将脚本注入到目标 App 进程，实时监控内存中的 DEX 加载行为。 2. **内存搜索** 扫描进程内存，识别符合 DEX 文件特征（如 `dex\n035` 文件头）的数据块。 3. **修复与导出** 提取原始 DEX 字节流，修复内存偏移等问题，最终保存为可分析的 `.dex` 文件。 --- ### 二、使用步骤 1. **环境准备** - 安装 Python 和 Frida： ```bash pip install frida-tools frida-dexdump ``` - 手机/模拟器需开启 USB 调试，并运行 Frida Server。 2. **执行脱壳** - 针对正在运行的 App： ```bash frida-dexdump -U -f com.example.app ``` - `-U`：连接 USB 设备 - `-f`：指定目标包名 3. **获取结果** - 脱壳后的 DEX 文件会保存在当前目录的 `dump` 子文件夹中。 --- ### 三、核心优势 1. **对抗加固** 可绕过主流商业加固方案（如梆梆、腾讯乐固）的内存保护机制。 2. **动态脱壳** 直接提取运行时内存中的 DEX，避免静态脱壳的复杂性。 3. **灵活定制** 支持自定义搜索策略（如调整内存范围、过滤无效 DEX）。 --- ### 四、局限性 1. **依赖运行环境** - 需保持 App 处于运行状态，部分加固可能会检测 Frida 并闪退。 2. **多DEX处理** 若 App 包含多个 DEX 文件，需手动合并分析。 3. **内存残留** 若 DEX 已被卸载或覆盖，可能导致提取失败。 --- ### 五、实际应用技巧 1. **绕过反调试** 配合 Frida 脚本禁用加固的反调试检测。 2. **多进程处理** 使用 `--spawn` 参数在应用启动时注入，避免错过早期加载的 DEX。 3. **日志分析** 添加 `-v` 参数查看详细日志，定位脱壳失败原因。 --- ### 六、注意事项 - **法律合规性**：仅用于安全研究或授权测试，避免侵犯软件版权。 - **设备兼容性**：部分 Android 10+ 机型需关闭 SELinux 或使用模拟器。 - **版本更新**：定期更新 `frida-dexdump` 以适配新版加固技术。 --- 如需进一步分析脱壳后的 DEX 文件，可结合 **Jadx** 或 **Ghidra** 进行反编译。