upx手动脱壳学习笔记

使用文件:[moectf]UPX!

拖入ida看看

IDA分析失败,可能是加了壳保护。用ep查壳。

显示程序有upx壳,需要脱壳。

这里有两种脱壳方式:工具脱壳和手动脱壳。这里展示手动脱壳。

前置知识:

1. ep:entry point。程序的入口点的简称。

    oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。

2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。因此需要将原先寄存器中操作系统提供给程序的值在解密执行后pop回程序,此时即可方便的找到程序的oep处。)

3. 在单步调试时,遇到向上跳转的语句,在语句下方设置断点(f2)后按f9跳过循环(经验之谈)

让我们开始调试吧!

 64位文件,用x64dbg打开

 

f9跳转到ep

 看到了一串push,那么这就是加壳程序的开始了。

这里找到pop有两种方法:

1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。所以只需要随RSP下硬件访问断点即可)

往下运行一步,rsp变红说明rsp发生改变。

右键rsp,点击跟随在转储

 

选中对应地址后设置断点 

 f9运行

断在了pop后面,我们已经走完了壳的程序

稍微有经验的话应该知道脱壳已经差不多结束了,继续单步走几步看看。

 

这里有个循环,直接下断跳过之

 

一个比较大的跳转,是osp的标志,f8跟进去看看

wow,好多jmp

走几步后出现了题目的信息,说明已经到达了主体的函数

我们重载一下程序,刚才的操作再来一遍

到达这里时停下。猜测这里就是oep

dump一下试试

点击scylla

点击转储,保存程序

查看一下我们dump下来的程序,看看有没有脱壳成功。

拖入ida

题面出现,脱壳成功!

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值