脱壳常见问题

最新推荐文章于 2024-05-28 09:52:31 发布
原创 最新推荐文章于 2024-05-28 09:52:31 发布 · 437 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

脱壳常见问题:

内存dump之后图标无显示, 资源文件不见了?

产生原因: 内存中的数据大小大于文件中的大小, 导致dump时, 将资源节数据后移, 而原始的资源节的指针还是指向之前的位置, 此时的数据为0.

解决方案: 修改资源节的指针指向资源数据往下移动后的位置, 或者删除多余的数据, 将资源节的数据剪切到原始位置.

 

内存dump的时机, 程序停在OEP后进行dump, 程序能够正常运行, 而程序在运行起来之后在进行dump, 程序无法正常运行?

某些变量的值被修改后, 导致程序运行过程中产生了问题.

例如:

Int g_Number = 200;

Int main(void)

{

       Printf(“%d\n”,  1000/ (g_Number – 100));

       g_Number -= 100;

       Return 0;

}

如果停在OEP的时候就进行dump, 那么程序能够正常运行.

如果在运行之后, 再从OEP处进行dump, 此时全局变量g_Number已经被修改为100, 如果再次运行时, 会发生除0异常, 程序无法正常运行.

 

内存dump之后, 使用IMPORTREC等工具进行修复, 此类工具究竟做了什么?

在内存中找到IAT表的起始位置, 算出RVA地址, 获取IAT表的大小, 根据内存中IAT的值修复dump出来的可执行程序.

Android逆向:Android脱壳技术简介与实战详解
数据知道的博客
03-01 7909
在Android应用开发中,为了保护代码和资源,开发者通常会使用加壳技术对APK进行加密和保护。脱壳技术则是逆向工程中的一种重要手段,用于去除这些保护层,还原出原始的DEX文件和资源文件。脱壳技术是Android逆向工程中的重要手段,通过静态和动态脱壳方法,开发者可以去除应用的保护层,还原出原始的DEX文件和资源文件。本文详细介绍了脱壳技术的原理、工具、实战应用、常见问题与解决方案,以及安全与风险。通过掌握脱壳技术,开发者可以更高效地进行逆向工程和安全研究。
小白的脱壳见解(可能有误)
qq_53633555的博客
03-17 295
1.壳的分类:压缩壳:upx,aspack 加密壳:asprotect,armadilo,esecryptor,themida等 一:壳的加载过程 1.保存入口参数 壳首先会保存各个寄存器的值,然后等壳执行完毕,在恢复各个寄存器的数值,最后跳回oep,通常会使用pushad/popad pushfd/popfd 2.获取壳本身需要的使用的api地址 外壳的输入表中只有getprocaddress getmodulehandle loadlibrary这三个函数甚至只有ker
脱壳问题汇总
blind cat
02-27 312
1、自定义的ClassLoader如何脱壳 在包含自定义ClassLoader的代码被执行后,通过Frida的Java.enumerateClassLoaders进行脱壳 在包含自定义ClassLoader的代码被执行时 2、自定义的ClassLoader基类不是BaseClassLoader,是ClassLoader脱壳失败? 从classLoader中获取对应的dex/类列表,送入ArtMethod.Invoke ...
手脱64位UPX壳
热门推荐
Breeze的博客
08-03 1万+
手脱64位UPX壳 背景 近期舍友不知道为啥忽然要汉化一个GTA的外挂,第一次听说他要汉化,问了我一堆关于逆向的东西。由于外挂加了upx的壳(也是peid说的,我感觉是一个很奇怪的壳),他搞不定于是发来给我。 我平时也是逆向linux的elf文件多一些,windows的而且还是64位的几乎没搞过,平时也没脱过什么壳,也就是听说过原理而已(感觉不难),再加上我之前的电脑坏掉了返厂修了,新电脑刚到手,...
34. 脱壳篇-FSG压缩壳、ImportREC修复IAT输入表的使用,令一种寻找OEP方式
墨痕诉清风的博客
03-08 2506
直接将exe拖至FSG进行压缩壳 OD打开 第一次选择,然后重新加载(Ctrl+F2) 这次选择这样 结果 分析后 dump出来,注意:重建输入表不勾选,否则软件崩溃不可用行 寻找,我们要引入一个非常优秀的输入表(IAT)修复工具,ImportREC 输入OEP 输入 这两个位置不对,我们输入地址在OD里查询看一下,记得加基...
菜鸟脱壳脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
banhanjun1518的博客
07-05 780
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
逆向基础:软件手动脱壳技术入门
最新发布
2401_84206094的博客
05-28 2181
最后一次异常法的原理是,程序在自解压或自解密过程中,可能会触发无数次的异常。如果能定位到最后一次程序异常的位置,可能就会很接近自动脱壳完成位置。现在最后一次异常法脱壳可以利用Ollydbg的异常计数器插件,先记录异常数目,然后重新载入,自动停在最后一次异常处。
常见android app加固厂商脱壳方法研究
08-28
常见Android App加固厂商脱壳方法研究 Android App加固厂商脱壳方法研究是指对Android应用程序进行加固保护的方法研究,主要是为了防止应用程序被反编译和盗版。常见的加固方法有dex加密、资源加密、代码混淆、反...
脱壳工具 BlackDex32 3.1.0 Android手机脱壳工具
03-18
BlackDex是一个运行在Android手机上的脱壳工具,支持5.0~12,无需依赖任何环境任何手机都可以使用,包括模拟器。只需几秒,即可对已安装包括未安装的APK进行脱壳。...资源有限无法大量测试,遇到问题请提iss
andriod常见脱壳方法
11-15
### Android常见脱壳方法 #### 一、加固与脱壳:一种思维方式的对抗 随着移动互联网的迅猛发展,Android作为主流操作系统之一,其安全性日益受到重视。为了防止应用程序被非法篡改、逆向分析,开发者通常会对应用...
常见几种脱壳方法.pdf
09-03
常见几种脱壳方法 在这篇文章中,我们将讨论常见的脱壳方法,包括压缩壳和加密壳两种类型的壳。脱壳是指从程序中删除壳保护的过程。 一、概论 壳的出现是程序作者想对程序资源进行压缩和注册保护的目的,因此可以...
脱壳学习之 -- 步骤总结
cs840610862的博客
03-02 1115
脱壳步骤 最近在学习脱壳的教程,接下来总结一下手动脱壳的方式 1. 使用OD调试 常用的方式有以下 单步跟踪法: 这个方法是万能的, 思路就是, 碰到向上跳转, F4执行到下一步;如果函数中断, 则步入函数,继续单步, 一直到找到入口 ESP定律法: 找到开头关键的push后的一句,然后数据窗口跟随到 ESP寄存器的地址,在数据窗口的地址处右键下访问断点,然后直接运行,如果不是真正的入口...
脱壳基础
小黑话不多
07-13 990
1.     定位OEP 1.1  ESP定律(栈平衡) 使用UPX对计算器calc.exe进行加壳。 OD载入,如下: 第一条指令PUSHAD表示将所有通用寄存器值压栈,这些值即代表原程序加壳前的值,在壳运行完成后,需要借助栈恢复这些值,程序转到OEP,原程序才能正常执行。 F8向下走一步,此时ESP的值为压栈后的值: 对该ESP值下硬件断点:HW 0007F
脱壳后的PE文件的优化
weixin_43575859的博客
05-25 1155
资源的重建 有些软件脱壳后的资源不可查看,不能编辑或编辑后保存不了,这是因为在脱壳后资源没有完全释放。例如,ICON图标、Group icon(组图标)等在程序没有被执行时仍然会被系统读取,但他们一般是不能压缩的,因此被存放在外壳本身的代码空间中。正常脱壳后,资源段的其他数据都已恢复,但是图标等资源还留在外壳。所谓资源重建,就是把这些资源移回.rsrc区块。 首先将实例程序RebPE.exe进行脱壳(该实例程序链接放在文章末尾)。脱壳后我们用Resfixer(该软件以及下main要用的软件的链接都放在文
PE文件格式的RVA概念
04-14 1403
我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1961
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
脱壳基础知识入门
zacklin的专栏
05-14 4068
现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳。越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加壳了,因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛。壳发展到今天,强度越来越高了,将许多人挡在门外,使得
为什么某些壳脱壳后需要修复IAT?
xrain_zh的专栏
04-04 3526
来自:http://bbs.pediy.com/showthread.php?t=151939 为什么要修复IAT? 首先得说一下程序调用DLL导出函数的原理, PE调用DLL里的函数,一般是先加载这个DLL模块到它的进程地址空间, 然后在加载后的地址范围内找到每个调用函数的地址, 在程序中你可以使用LoadLibrary()这个系统API去动态去加载某个DLL, 再通过G
《加密与解密》ASProtect 2.1x SKE 脱壳过程中遇到的问题与解决方法及脱壳小结
u010486366的博客
01-19 1587
在学习《加密与解密》脱壳部分时,做了一次关于ASProtect的脱壳实验,但按照书上的步骤会报保护错误(Protect error)。为了明白原因,我继续往下深入。除了分析结果,以下还记录了关于脱壳学习的小结,方便以后自己和坛友查看。      寻找OEP      Dump      解除 “Emulate standard system functions”功能      通过脚本解除 “Em
RORDbg辅助脱壳工具使用方法及常见问题解答
标题中提到的“RORDbg辅助脱壳工具”是一个专门用于辅助程序调试和脱壳的工具,脱壳是指将加壳保护的软件恢复到未加密状态的过程。RORDbg通过提供一系列功能来帮助开发者和安全研究人员分析和理解程序的实际行为。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值