《逆向工程核心原理》学习笔记7 UPack加壳

最新推荐文章于 2024-03-09 10:00:08 发布
最新推荐文章于 2024-03-09 10:00:08 发布
阅读量1.3k 收藏 6
点赞数 4
文章标签: 信息安全 反汇编 底层应用开发 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yzaxiloveyou/article/details/104570595
版权
本文是《逆向工程核心原理》学习笔记第七篇,详细介绍了UPack加壳原理,包括如何使用UPack对程序加壳,通过PEviewer和stud_PE分析加壳后的文件结构,探讨了UPack如何重叠PE头和节区,以及在加壳后如何进行RVA到RAW的转换和导入表的解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

《逆向工程核心原理》学习笔记7

UPack加壳

(好久没更了orz)

UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意)

首先要下载UPack,下载链接在这
https://download.youkuaiyun.com/download/windyduy/10908118
首先声明,这不是我发的资源,我在此感谢这位发资源的大哥orz
(没有广告费)

下载以后,将要加壳的软件放在upack.exe所在的目录下(以notepad.exe为例),打开cmd,进入目录,然后输入以下命令行

upack notepad.exe

然后notepad.exe就被upack加了壳

于是我们尝试用PEviewer去打开加壳后的记事本,发现PEviewer似乎只识别了该文件的header部分,而且似乎很混乱,因此,我们使用stud_PE这个程序去看加壳后的文件,下载地址如下
https://download.youkuaiyun.com/download/yxnamespace/470359
同样,这也不是我上传的资源,同样感谢这位大哥orz

感动中国
然后我们在stud_PE中打开notepad.exe
出现如下的窗口

有一说一,这个界面挺好的,左边是PE头当中非常关键的一些成员已经把值都列出来了,而且也会表明RVA和RAW的情况,就不用像以前那样在HxD里慢慢数着找了

最低0.47元/天 解锁文章
EloflyS
关注
逆向工程核心原理》第14.15章——运行时压缩、调试UPX压缩的notepad.ex程序
diamond_biu的博客
12-14 926
运行时压缩数据压缩运行时压缩器压缩器保护器运行时压缩测试——notepad.exe为例比较notepad.exe与notepad_upx.exe文件调试UPX压缩的notepad.exe程序notepad.exe的EP代码 数据压缩 无损压缩(Lossless Data Compression):压缩的文件能够100%恢复。如Run-Length、Lempel-Ziv、Huffman。 有损压缩(Loss Data Compression):压缩的文件不能恢复原状,会损失一定信息,常用于多媒体文件。 运
逆向工程核心原理》相关说明
热门推荐
reversecore
11-25 2万+
下载地址:xxxxxxxxxx.xxxxxxxxx 解压密码
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
逆向分析 工具、加壳、安全防护篇
最新发布
dzqxwzoe的博客
03-09 1865
步进:(F7)步过:(F8)!
逆向工程核心原理源代码
qq_39249347的博客
08-08 2465
链接:https://pan.baidu.com/s/1qvXbeE9AIZyTpVTKIIyuGA 提取码:zofw
逆向工程核心原理
weixin_33751566的博客
08-14 629
致亲爱的中国读者: 大家好 !我是《逆向工程核心原理》 作者 李承远(ReverseCore)。 (韩文博客地址:www.reversecore.com) 首先,很高兴我的《逆向工程核心原理》-书在中国IT强国出版。我以前是C/C++开发工程师,后来有机会加入安全公司并从事恶意代码分析工作,从此开始对逆向技术进行深入研究。熟悉逆向技术就能轻松了解程序内部结构,这让我逐渐沉醉于逆向技术...
逆向工程核心原理学习笔记8 内嵌补丁练习
EloflyS的博客
03-14 320
逆向工程核心原理学习笔记8 调试Upack加壳的notepad.exe 上次的博客详细分析了UPack加壳的notepad.exe,所以这次我们尝试调试该notepad.exe,我们依然在OD当中去调试它。 打开它的时候,会出现警告信息,不用管他,点击确定,由于这个对话框中显示的错误,导致OD无法找到实际的EP位置,所以就会停在其他地方。但是没关系,因为 ...
逆向工程核心原理》第18章----分析Upack
qq_55785697的博客
04-08 352
Upack的PE形式乍一看和规范相去甚远,实际上每一处都是精心设计的,在混淆人工分析的同时完美符合PE规范。主要是采取了以下多种手段。 一、重叠PE文件头 MZ文件头中对程序运行有用的只有标志位和偏移03C处NT映像头的起始位置,其余地方都是无影响可随意填充其他内容;依此可将NT映像头与MZ文件头重叠。 二、修改结构长度扩充空余空间 1.在IMAGE_FILE_HEADER结构中,SizeofOptionHeader这个参数代表可选头的大小,由于在PE32中大小是固定的E0,所以当参数大小超过E0时
手动脱WinUpack 壳实战
weixin_33774308的博客
08-16 167
作者:Fly2015 吾爱破解培训第一课选修作业第6个练习演示样例程序。不得不反复那句话,没见过这样的壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些。特别是IAT表的修复问题上。   首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理。 OD加载加WinUpack 壳的程序进行动态调试分析。加壳程序入口点反汇编快照。 想都不...
逆向工程核心原理1--HelloWorld
qq_40535097的博客
07-29 2369
最终,我做了这个决定,开始学习游戏安全 逆向工程核心原理1-HelloWorld 逆向分析 HelloWorld 程序 #include <iostream> #include <Windows.h> int main() { MessageBox(NULL, L"HelloWorld1", L"HelloWorld2", MB_OK); } 注:此处需要在Rel...
UPX和WinUpack压缩壳的使用和脱法 - 脱壳篇06
weixin_33860147的博客
08-30 312
UPX和WinUpack压缩壳的使用和脱法- 脱壳篇06 让编程改变世界 Change the world by program 今天小甲鱼给大家介绍两款压缩壳:UPX和WinUpack。 UPX是时下最流行的压缩壳之一,因为它的压缩效率和稳定性都是比较不错的,另外一点呢他是开源的,小甲鱼在这节课的源代码下载处,提供了UPX的源代码给大家研究一下,它是用C++写成的。 .....
逆向工程核心原理 小结
逆向工程核心原理 学习小结
05-21 2029
首先,先说明我在阅读和动手过程中的第一个问题。1.如果要跟着书上的过程进行调试,并且你是用的是VS,那么建议你关闭C/C++优化。因为优化后的.exe会省略很多细节,不利于小白进行分析。具体关闭细节如下:在解决方案资源管理器中选中项目名称,——》右键点击“”属性“”选择“”C/C++“”选择优化关闭即可,再次运行调试,并用ollydbg调试即可。...
逆向工程核心原理学习笔记6 运行时压缩
EloflyS的博客
02-22 330
逆向工程核心原理学习笔记6 运行时压缩 一、压缩文件十分常见,只要通过一定的压缩算法,就能缩减文件的大小。 二、而运行时压缩是针对PE可执行文件而言的,和普通压缩器相比,运行时压缩器的明显不同是“PE文件的可执行性”。 三、常见的压缩器有:UPX,ASPack等 四、保护器:1.保护PE文件免受代码逆向分析的实用工具。 2.目的:防止破解,保护代码和资源 3.使用现状:常用于在线游戏的保护 4...
Upack0.31 脱壳小试,附详细过程
sandikast的专栏
01-14 3539
一、Upack加壳 Upack作为一种保护壳,独特的PE格式混淆与压缩是很让人惊叹的,很多PE分析器与自动脱壳软件脚本都被干掉了,dwing大神对PE装载器的理解之深入让人不得不佩服得五体投地。 作为测试,先用一个自己写的C#小程序作为加壳对象进行加壳: PEiD检测结果如下: 用百度到的第一个Upack0.31版本对原程序加壳加壳后的程序PEID检测如下:
UPack调试
qq_39249347的博客
08-19 379
Ollydbg运行错误 由于Upack会将IMAGE_OPTIONAL_HEADER中的NumberOfRvaAndSizes值设置为A,所以使用OllyDbg打开notepad_upack.exe文件时,初始检查过程中会弹出错误消息对话框: 按确认按钮关闭对话框,上面这个错误导致OllyDbg无法转到EP位置,停留在ntdll.dl区域: 该现象是由OllyDbg的Bug引起的,所以需要强制设置EP,首先要查找EP位于何处,下面使用Stud_PE查找EP的虚拟地址。 ImageBase为010.
庖丁解牛之UPack工作原理及实例分析(1)
fengling59的专栏
12-29 888
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(1) 5 days ago2015-12-28 孙 建坡 阅读: 287 大家都清楚运行时压缩器UPack是软件逆向工程中常见课题;了解运行时压缩,需要掌握基
UPack文件分析学习笔记
qq_45444695的博客
02-17 1671
前言:UPack是一款对PE文件头进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一头雾水,无从下手,因为它颠覆了很多人对PE头传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPack对PE头进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理UPack压缩notepad 我们使用upack 0.39.exe对w...
庖丁解牛之UPack工作原理及实例分析(3)
fengling59的专栏
12-29 705
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(3) 3 days ago2015-12-28 孙 建坡 阅读: 131 UPack是软件逆向工程中常见课题;前两篇对于Runtime压缩基础知识和UPack
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值