upx手动脱壳学习笔记

原创 已于 2023-11-24 15:18:48 修改 · 3.6k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #笔记

于 2023-11-24 15:11:04 首次发布

使用文件:[moectf]UPX!

拖入ida看看

IDA分析失败,可能是加了壳保护。用ep查壳。

显示程序有upx壳,需要脱壳。

这里有两种脱壳方式:工具脱壳和手动脱壳。这里展示手动脱壳。

前置知识:

1. ep:entry point。程序的入口点的简称。

    oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。

2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。因此需要将原先寄存器中操作系统提供给程序的值在解密执行后pop回程序,此时即可方便的找到程序的oep处。)

3. 在单步调试时,遇到向上跳转的语句,在语句下方设置断点(f2)后按f9跳过循环(经验之谈)

让我们开始调试吧!

 64位文件,用x64dbg打开

最低0.47元/天 解锁文章
使用IDA Pro进行脱壳
武天旭的博客
10-03 3398
APK加固的两种方式:一种是对源APK整体做一个加固,放到指定位置,运行的时候再解密动态加载;还有一种是对so进行加固,在so加载内存的时候进行解密释放。一个APK加固,外面肯定得套一个壳,这个壳必须是自定义的Application类,它需要做一些初始化操作,一般加固的APK壳的Application类都喜欢叫StubApplication。1、查看是否加固首先解压出classes.dex文件,使用dex2jar工具查看Java代码,发现只有一个Application类,所以猜测APK被加壳了。
upx脱壳
m0_62280492的博客
07-09 7632
介绍CTF比赛中常见的upx壳类型
UPXUnPacKer:专业UPX脱壳工具实战解析
最新发布
weixin_42576467的博客
10-14 1338
在逆向工程与二进制分析领域,脱壳(Unpacking)是还原被压缩或混淆的可执行文件原始形态的关键步骤。UPX作为最广泛使用的开源可执行压缩工具之一,其加壳机制虽公开透明,但在实际应用中常因版本差异、平台适配及人为修改而呈现出复杂多变的特征。为应对这一挑战,UPXUnPacKer应运而生——它是一款专为识别并剥离UPX壳体设计的专业工具,具备高度自动化、跨平台兼容和灵活策略选择等核心能力。
手动UPX
webcenterol
02-06 271
手动UPX壳 write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移...
UPX脱壳
Zbw_OIer的博客
11-28 1814
什么是加壳 加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。 UPX脱壳 加壳可执行文件 UPX sample.exe 脱壳执行文件
upx(脱壳工具)
10-29
upx(脱壳工具)
从0到1学习恶意样本分析笔记第3篇:恶意样本查壳与脱壳基础操作
qq_37452838的博客
11-23 1182
请分析NO.3的作业样本, 并回答如下问题(学习样本和作业样本是分开的,学习样本上面下载即可)(因为工具和样本太多了,所有的学习过程中需要用到的工具和样本都已经放在圈子里了,包括虚拟环境经过我自己的测试都放在圈子里给大家,后续会提供一些我自写的内核工具给大家一起学习~)希望你我一起进步。同时发现LoadLibrary和 GetProcAddress这两个函数在加壳程序或是样本是非常常见的,最后针对UPX的壳程序可以使用脱壳工具进行一键脱壳,在后续的分析中会讲解更高级的脱壳技术,手动脱壳等等。
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1287
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
Base CTF [第2周]UPX
shdbehdvd的博客
08-27 307
说明是一个自定义表的base64加密。对密文进行解密即可。(感兴趣可以去了解ESP脱壳定律)我脚本有瑕疵,不过无伤大雅,猜出来了。这里就是我们的main函数了。F9 然后在堆栈窗口给其下断点执行F9。粗略看出,这有关base64的加密。ALT +B 打开断点页面。完成了,ida打开分析程序。UPX 64 有壳脱呗。ok,脱壳机脱不了。dump出来就行了。main函数中看看。
学习笔记-第十八章 恶意代码分析实战
Yes_butter的博客
04-09 745
第十八章 加壳和脱壳 加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。 1.剖析加壳 恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。 要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳 器的工作原理。 所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可 执行文件经过压缩,加密或者其...
UPX脱壳机,你们懂的
07-07
一款强力的UPX脱壳机,好东西不多解释。如果出现使用问题或者交流脱壳技术的话,可给我发邮件541977545@qq.com
upx手动脱壳
qq_36963214的博客
10-26 7514
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
脱壳-UPX
weixin_43657323的博客
07-10 985
首先需要准备一个新鲜的upx壳还有exeinfo和OD。 exeinfo看是什么壳,可以看到这是一个upx的壳。 然后放到OD里面 一、单步跟踪 按F8,或者反汇编区上面的下箭头进行单步调试 看到十六进制区域出现红色的箭头,说明出现跳转,按F8,直接跳转到箭头指向处,继续单步调试 出现上箭头,我们不让他跳回,选择(005790AB)地址按F4(右键,断点,运行到指定位置),运行到指定位置,...
upx命令行脱壳
m0_74148881的博客
07-28 3378
try upx.exe -d
手动UPX压缩壳
bangren3304的博客
09-25 413
示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加壳的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx壳: 压缩之后查壳: 脱upx壳 od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指...
UPX脱壳机VC++源码详解
### UPX脱壳机源码(VC++) 知识点详解 #### 标题解读 1. **UPX脱壳机**: UPX是一款流行的可执行文件压缩工具,它通过压缩和解压缩技术来减小程序的体积。脱壳机是指能够去除程序中UPX压缩壳层的工具或源码,其目的...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值