手动改造UPX壳,增加IAT保护

置顶 已于 2025-01-22 17:51:37 修改
阅读量3.6w 收藏 9
点赞数 19
分类专栏: 逆向 文章标签: VMP 加壳 脱壳 逆向 破解
于 2024-10-25 09:48:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/vbnetcx/article/details/143226712
版权

随便拿Delphi7,新建一个VCL窗体程序,画一个按钮,写两行代码。这一步骤讲究的是什么呢?率性而为,反正没什么卵用。比如,俺写的是这玩意。

<span style="color:#666666"><span style="background-color:#ffffff">procedure TForm1.Button1Click(Sender: TObject);

begin

  MessageBox(0, '鸿雁在天鱼在水,惆怅此情难寄!', '', MB_ICONINFORMATION);

end;</span></span>


编译,打开,点按钮,确认一切无误。


给它套上一层UPX的外壳。


OllyDbg载入它,找到OEP不用我多说了吧?ESP定律干掉,或者往EP后面找popad,下面的jmp就是了。
中断在OEP后,随便找一个API调用语句,比如jmp dword ptr[xxxxxxxx],或者call dword ptr[xxxxxxxx]啦,具体是编译器来说话的。

比如我找到了这里。


在CALL上面按回车,跟进这个CALL看看。


转到DUMP窗口看看,用ADDRESS模式&#

最低0.47元/天 解锁文章
160个crackme之005ajj.2破解思路及手脱UPX还有手动修复IAT
iqiqiya的博客
04-11 1205
 (感觉标题好长 哎呀 不重要了 本文以一个新手的角度来写)我们先观察下都给了什么还有一个txt文本 打开看看 我还百度了下SOFTICE和TRW    至于TRW不知道是不是这个TRW2000操作手册https://www.pediy.com/kssd/tutorial/append-c.htm 运行之后 下边图片区滚动播放 三字经 我想笑输入11111111111111 ...
UPX win64 手动脱壳 手动加壳
08-23
手动脱壳 UPX 压缩的可执行文件,你可以按照以下步骤操作: 在下载的文件夹打开命令行工具 使用 UPX 压缩命令: upx 使用 UPX 解压命令: upx -d 其中 <path_to_your_executable> 是你要解压的 UPX 压缩文件的...
2010最新免杀 超强终极(修UPX 黑基内部版)
07-26
基于修UPX的超强终极免杀(黑基内部版 禁止外传) 通过修upx的加密头 达到免杀的目的 具体的操作黑基论坛有 难得的内部 本身免杀 需要的可以下
upx大全
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
09-21 1145
(一)overlay_offset被修将此标志修为正确的即可用工具正常脱壳
逆向upx脱壳以及简单的魔
最新发布
Cjj060801的博客
12-29 1386
后插入一个跳转指令很有意思EB 05 90 90 90(三个90四个90都可以)(EB 05的意思是跳过接下来5个字节,所以说90只是用来填充的,EB 05本来占了两个字节所以后面填3个90可以,但是填4个90不影响跳转逻辑)在010editor中更UPX0,UPX1等东西为RPX0或者gas0什么乱七八糟的都可以(原来没有动前他们都是U)(这个叫魔数)修成无意义的字符如:ABC!对于如何魔一下upx呢(使upx -d失效)对于4.01.UPX!这一部分叫UPX标识区。本来有正常的UPX
手工脱壳之 未知IAT加密IAT加密+混淆+花指令】【哈希加密】【OD脚本】
aihan8042的博客
03-24 534
一、工具及介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,OllySubScript 未知IAT加密: 二、初步脱壳 尝试用ESP定律。 疑似OEP,VC6.0特征 进第一个CALL查看 确认是OEP。 ...
脱壳系列_2_IAT加密_详细分析(含脚本)
weixin_30399821的博客
07-31 371
1 查看程序信息 使用ExeInfoPe 分析: 发现这个的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是 入口函数先调用GetVersion() 2 用OD找OEP 拖进OD 发现 这个和我们的正常程序很像。但是并不是我们的真正程序入口 因为vc6.0特征的第一个调用的是GetVe...
第34章-手脱UPX,修复IAT1
08-03
在本章中,我们将深入探讨如何手动解除 UPX 并修复程序的输入地址表(IAT)。首先,我们要理解为什么需要手动修复 IATIAT 是 Windows 程序加载时,操作系统用于存储外部 DLL 函数入口点的表。当程序被加壳后,如...
UPX Shell 最好的UPX程序-易语言
06-13
UPX Shell是一款基于UPX(Ultimate Packer for eXecutables)的实用工具,专为易语言程序设计,用于提高程序的压缩率和执行效率。UPX本身是一个开源的可执行文件打包器,它能够对PE(Windows可执行文件)、ELF...
(加密了IAT
weixin_30394981的博客
04-22 195
下载地址:加壳示例程序,程序,代码http://pan.baidu.com/s/1nvgXH2L 转载于:https://www.cnblogs.com/wingss/p/5423119.html
upx变形加密补丁
07-08
upx变形加密补丁,源码。在加密时做手脚
2010最新免杀 超强终极(修UPX 黑基内部版)
07-26
基于修UPX的超强终极免杀(黑基内部版 禁止外传) 通过修upx的加密头 达到免杀的目的 具体的操作黑基论坛有 难得的内部 本身免杀 需要的可以下
一个给新手进阶的IAT加密
2401_84466227的博客
05-27 980
这篇文章中介绍了IAT加壳与解的全过程,并用Ollydbg进行逆向分析,说明这个的鸡肋的之处,最后给出了核心源代码。
还是搞不定该死的iat加密..
gqdw
08-25 588
也许我还太嫩...
UPX脱壳源码探寻-待发表
KD的疯狂实验室
08-19 3061
一些小实验,未整理完成
通过手动upx简单了解逆向
A_991128a的博客
08-27 2863
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
(6)telock修复与跳过IAT加密
eldn__的专栏
10-03 1235
在压缩实例演示中除了FSG2.0,还有一个TELOCK0.98的,那TELOCK属于加密了,当然是非常简单的加密了,今天我们就看看这个在修复方面会遇到什么问题。 TELOCK脱壳用最后一次异常法。 一: 修复过程中卡机问题           TELOCK不用获取RAV,也没必要。获取输入表后发现有大量无效函数,有无效函数当然就要追踪了。先用追踪级别一,发现不起作用。那
脱壳入门(六)之未知加密
w_g3366的博客
08-08 1202
脱壳入门(六)之未知加密 一、找OEP 查:未知,编译器版本6.0(VC6.0或易语言程序) 找OEP:未知就只能先用OD看看了,的入口代码很熟悉了,用ESP定律就可以了,断下后F7单步到OEP 二、解密IATIAT表下硬件写入断点,找到填充IAT的代码位置,注意,这个加了花指令混淆功能,程序断下后Ctrl+↑定位上一条指令,然后分析 F7单步运行,跟一遍IAT加密的流...
upx 源码分析
heartcleaner的专栏
06-16 2377
upx 加壳文件组成,upx源码分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学编程的闹钟

自愿打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值