逆向工程——调试upx压缩的notepad程序

最新推荐文章于 2025-04-12 22:24:44 发布
最新推荐文章于 2025-04-12 22:24:44 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 逆向工程 文章标签: windows 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45933944/article/details/120958202
版权

一. 比较notepad.exe与notepad_upx.exe的EP代码

notepad.exe:
在这里插入图片描述
程序的EOP在0100739D处,在010073B2处调用函数getModuleHandleA()API,获取notepad.exe的Imagebase。然后在010073B4和010073C0处比较MZ和PE签名,这部分的EP代码很重要,后面分析notepad_upx.exe时会进行比较,也方便找到真正的程序的OEP。
notepad_upx.exe:
在这里插入图片描述
在地址01015330处是压缩之后的第二节部分,PUSHAD命令将EAX~EDI寄存器的值保存到栈中,然后分别把第二个节区的起始地址(01011000)与第一个节区的起始地址(01001000)设置到ESI与EDI寄存器中。
在地址01015330处上方的代码是notepad.exe的源代码;

UPX文件第一节区仅存在于内存,该处即是解压后保存源文件代码的地方

调试时像这样同时设置ESI和EDI,就能预见从ESI(Source)所指的缓冲区到EDI(Destination)所指的缓冲区的内存发生了复制。

最低0.47元/天 解锁文章
《逆向核心原理》第十五章----调试notepad_upx.exe
qq_55785697的博客
04-05 630
零、前情提要 我们常见的压缩比如zip、7z、rar等都是通过合适的压缩算法将大东西变成小东西,就像挤出海绵里的水、压出杯子里的空气或者榨出论文里的水一样;而今天提到的upx称之为运行时压缩,仅针对可执行文件,压缩后仍为可执行文件,其中包含解码程序和源代码。 一、比较upx加壳前后的pe结构 用peview打开两个exe,加壳前的notepad.exe其中包含text、data、src节,加壳后text和data节消失,取而代之的是upx0和upx1。 可以发现notepad_upx.exe中,
逆向工程核心原理》第14.15章——运行时压缩调试UPX压缩notepad.ex程序
diamond_biu的博客
12-14 931
运行时压缩数据压缩运行时压缩压缩器保护器运行时压缩测试——notepad.exe为例比较notepad.exenotepad_upx.exe文件调试UPX压缩notepad.exe程序notepad.exe的EP代码 数据压缩 无损压缩(Lossless Data Compression):压缩的文件能够100%恢复。如Run-Length、Lempel-Ziv、Huffman。 有损压缩(Loss Data Compression):压缩的文件不能恢复原状,会损失一定信息,常用于多媒体文件。 运
upx压缩notepad.exe(运行时压缩
weixin_30876945的博客
08-13 279
PEView:https://www.lanzous.com/i5k9vbg UPX:https://www.lanzous.com/i5k9vch notepad.exe:https://www.lanzous.com/i5k9wfg 1.UPX运行时压缩upx工程文件,使用命令压缩 upx -o notepad_upx.exe notepad.exe ...
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2 介绍
最新发布
gitblog_06708的博客
04-12 337
脱壳工具UPX -EXE/Dll资源压缩工具-UPX-4.2.2 介绍 【下载地址】脱壳工具UPX-EXEDll资源压缩工具-UPX-4.2.2介绍 UPX是一款高效的可执行程序压缩工具,能够将EXE、DLL等文件压缩至原有体积的50%-70%,显著减少磁盘占用和网络传输时间。压缩后的程序功能完整,运行时无性能损失。UP...
notepad.upx
05-31
notepad.upx
notepad_upx.exe 学习程序upx,NOTEPAD.exe
08-27
逆向工程核心原理》一书中使用的程序notepad_upx.exe ,包括NOTEPAD.EXEUPX程序
完整的UPX软件——用于压缩应用程序
09-01
UPX软件是专门对.exe应用程序进行脱壳压缩的,可以压缩50%到70%,但不影响应用程序的性能。这个版本是最完整的UPX软件,比其他版本要全。
逆向工程核心原理之调试UPX压缩notepad程序
wangtiankuo的博客
04-08 536
    notepad_upx第一个节区的RawDataSize为0,即第一个节区在磁盘文件中是不存在的,但是其Virtual Size值为0xF000,意味着,UPX压缩后的PE文件在运行瞬间将压缩的代码解压到(内存中的)第一个节区。    notepad_upx的EP,第一个节区的起始地址0x01001000,存入edi,第二个节区的起始地址0x01010000,存入esi。    把esi中...
调试UPX压缩notepad
weixin_30347009的博客
11-30 247
@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 note...
构建spec文件、打包PyQt程序exeUPX压缩一次搞定
qq_51210361的博客
12-01 3259
使用.spec文件 + UPX压缩打包pyqt项目,使用-w参数生成文件夹。(项目较大加入-w参数,生成文件夹,项目较小使用-F参数,只生成一个单独的可执行文件)
调式UPX压缩notepad程序
qq_39249347的博客
08-14 226
notepad.exe的EP代码 在010073B2地址处调用了GetModuleHandleA()API,获取notepad.exe程序的ImageBase,然后在010073B4与010073C0地址处比较MZ与PE签名。 打开notepad_upx.exe的代码 调试器判断该文件为压缩文件,点击是,继续调试。 EP地址为01015330,该处即为第二个节区的末端部分,实际压缩notepad源代码存在于EP地址(01015330)上方。 首先使用PUSHAD命令将EAX~EDX寄.
UPX文件压缩工具
04-07
PE文件(EXE/DLL等)压缩、解压缩工具。
第十四、十五章 运行时压缩调试UPX压缩Notepad.exe
qq_45850212的博客
05-20 1036
1.压缩后的PE文件仍然是PE文件,因为要执行解压操作就必须是可执行文件;2.解压代码到某段虚拟空间后该空间就变为新的.text段,跳到该段的入口处就能与原来的文件一样开始执行原来的代码。
运行时压缩UPX
Mi1k7ea
06-07 4238
任何文件都是由二进制组成的,因而只要使用合适的压缩算法,就可以是文件大小进行压缩。无损压缩:经过压缩的文件能完全恢复。如7-zip、面包房等压缩程序。有损压缩:经过压缩的文件不能完全恢复。压缩多媒体文件时大部分使用有损压缩。运行时压缩器:运行时压缩器(Run-Time Packer)是针对可执行文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间在内存中解压缩后执行。运行时压缩文件也是PE文件...
逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1997
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
UPack的PE文件头分析与OEP查找
Mi1k7ea
06-11 1667
UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件头分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
upx压缩工具使用说明
weixin_45038261的博客
02-08 623
UPX(Ultimate Packer for Executables)是一款开源的可执行文件打包工具,能够将可执行文件(如Windows.exe文件或Linux的ELF文件)进行压缩,以减少文件大小,并增加反逆向工程的难度。下载相关安装包,我下载的是windows版本,安装好后,我没有配置环境变量,我直接在当前目录下使用的。
upx(一种可执行程序文件压缩器)的学习
u012441962的博客
09-18 1412
技术原理: 对于可执行程序资源压缩,是保护文件的常用手段. 俗称加壳,加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码. 加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。当加壳时,其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当执行这个程序的时候这个壳就会把原来的程序在内存中解开
脱壳笔记-手工脱UPX压缩
走在成长的路上
01-03 1771
upx壳的手工脱壳学习笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值