upx手动脱壳学习笔记

使用文件：[moectf]UPX!

拖入ida看看

IDA分析失败，可能是加了壳保护。用ep查壳。

显示程序有upx壳，需要脱壳。

这里有两种脱壳方式：工具脱壳和手动脱壳。这里展示手动脱壳。

前置知识：

1. ep：entry point。程序的入口点的简称。

    oep：orignal entry point：未加壳的程序的真正的入口点，是手动脱壳的目标。

2. 加壳的程序在开始时，需要对寄存器进行push操作，在加密程序结束后（可以将壳看作一个加密程序） pop回寄存器的值。（任何的壳都有一个目的，让程序认为操作系统的环境是透明的，没有受到壳的阻挡。因此需要将原先寄存器中操作系统提供给程序的值在解密执行后pop回程序，此时即可方便的找到程序的oep处。）

3. 在单步调试时，遇到向上跳转的语句，在语句下方设置断点（f2）后按f9跳过循环（经验之谈）

让我们开始调试吧！

 64位文件，用x64dbg打开

 

f9跳转到ep

 看到了一串push，那么这就是加壳程序的开始了。

这里找到pop有两种方法:

1（最简单）对rsp下断点，直接追踪到pop（原理：push将四个寄存器中的值进行压栈，rsp指向栈顶，故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈，即复原了RSP。所以只需要随RSP下硬件访问断点即可）

往下运行一步，rsp变红说明rsp发生改变。

右键rsp，点击跟随在转储

 

选中对应地址后设置断点 

 f9运行

断在了pop后面，我们已经走完了壳的程序

稍微有经验的话应该知道脱壳已经差不多结束了，继续单步走几步看看。

 

这里有个循环，直接下断跳过之

 

一个比较大的跳转，是osp的标志，f8跟进去看看

wow，好多jmp

走几步后出现了题目的信息，说明已经到达了主体的函数

我们重载一下程序，刚才的操作再来一遍

到达这里时停下。猜测这里就是oep

dump一下试试

点击scylla

点击转储，保存程序

查看一下我们dump下来的程序，看看有没有脱壳成功。

拖入ida

题面出现，脱壳成功！