upx手动脱壳学习笔记

已于 2023-11-24 15:18:48 修改
阅读量3.1k 收藏 15
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 逆向知识 文章标签: 学习 笔记
于 2023-11-24 15:11:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sirrior/article/details/134597589

使用文件:[moectf]UPX!

拖入ida看看

IDA分析失败,可能是加了壳保护。用ep查壳。

显示程序有upx壳,需要脱壳。

这里有两种脱壳方式:工具脱壳和手动脱壳。这里展示手动脱壳。

前置知识:

1. ep:entry point。程序的入口点的简称。

    oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。

2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。因此需要将原先寄存器中操作系统提供给程序的值在解密执行后pop回程序,此时即可方便的找到程序的oep处。)

3. 在单步调试时,遇到向上跳转的语句,在语句下方设置断点(f2)后按f9跳过循环(经验之谈)

让我们开始调试吧!

 64位文件,用x64dbg打开

 

f9跳转到ep

 看到了一串push,那么这就是加壳程序的开始了。

这里找到pop有两种方法:

1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。所以只需要随RSP下硬件访问断点即可)

往下运行一步,rsp变红说明rsp发生改变。

右键rsp,点击跟随在转储

 

选中对应地址后设置断点 

 f9运行

断在了pop后面,我们已经走完了壳的程序

稍微有经验的话应该知道脱壳已经差不多结束了,继续单步走几步看看。

 

这里有个循环,直接下断跳过之

 

一个比较大的跳转,是osp的标志,f8跟进去看看

wow,好多jmp

走几步后出现了题目的信息,说明已经到达了主体的函数

我们重载一下程序,刚才的操作再来一遍

到达这里时停下。猜测这里就是oep

dump一下试试

点击scylla

点击转储,保存程序

查看一下我们dump下来的程序,看看有没有脱壳成功。

拖入ida

题面出现,脱壳成功!

upx3.94手动脱壳
海阔天空
07-15 5266
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx加壳,使用ESP定...
upx手动脱壳
qq_36963214的博客
10-26 7328
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
upx脱壳(最简单方法之一)
2301_80820096的博客
04-13 4541
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
upx(脱壳工具)
10-29
upx(脱壳工具)
Free UPX 脱壳工具:轻松优化可执行文件
最新发布
weixin_32324637的博客
06-08 1587
UPX(Ultimate Packer for eXecutables)是一款广泛使用的可执行文件压缩工具,旨在减小Windows、Linux、Mac OS X等系统的32位和64位可执行文件的大小。它通过压缩程序代码、数据以及资源,能够在不损害程序功能的前提下,实现对执行文件的高效压缩。Free UPX的图形用户界面(GUI)设计直观易用,对于习惯于图形操作环境的用户来说,是一个非常受欢迎的功能。GUI的布局分为几个主要区域,包括菜单栏、工具栏、状态栏、以及最重要的工作区域。在菜单栏。
upx脱壳
m0_62280492的博客
07-09 6594
介绍CTF比赛中常见的upx壳类型
手动UPX
webcenterol
02-06 252
手动UPX壳 write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移...
UPX脱壳
Zbw_OIer的博客
11-28 1712
什么是加壳 加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。 UPX脱壳 加壳可执行文件 UPX sample.exe 脱壳执行文件
UPX win64 手动脱壳 手动加壳
08-23
手动脱壳 UPX 压缩的可执行文件,你可以按照以下步骤操作: 在下载的文件夹打开命令行工具 使用 UPX 压缩命令: upx 使用 UPX 解压命令: upx -d 其中 <path_to_your_executable> 是你要解压的 UPX 压缩文件的...
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
UPX脱壳工具源码
08-14
2. **脱壳机制**:脱壳工具的核心在于正确地解压UPX壳并恢复原始的未压缩PE文件。源码可能会包含解压算法,根据UPX的压缩格式进行还原。 3. **内存操作**:由于程序可能已经在内存中运行,脱壳工具可能需要在内存中...
UPX加壳脱壳
02-26
UPX的“加壳”过程就是将原始程序包裹在UPX壳里面,而“脱壳”则是去除这个外壳,恢复原始程序的原始状态。 UPX加壳技术主要基于两种方式:压缩和映像注入。压缩方式是将原始程序的数据压缩,然后在运行时解压到...
UPX脱壳机,你们懂的
07-07
一款强力的UPX脱壳机,好东西不多解释。如果出现使用问题或者交流脱壳技术的话,可给我发邮件541977545@qq.com
脱壳-UPX
weixin_43657323的博客
07-10 910
首先需要准备一个新鲜的upx壳还有exeinfo和OD。 exeinfo看是什么壳,可以看到这是一个upx的壳。 然后放到OD里面 一、单步跟踪 按F8,或者反汇编区上面的下箭头进行单步调试 看到十六进制区域出现红色的箭头,说明出现跳转,按F8,直接跳转到箭头指向处,继续单步调试 出现上箭头,我们不让他跳回,选择(005790AB)地址按F4(右键,断点,运行到指定位置),运行到指定位置,...
upx命令行脱壳
m0_74148881的博客
07-28 3198
try upx.exe -d
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值