35. 脱壳篇-UPX和WinUpack压缩壳的使用和脱法

2024-05-15 14:24:28

UPX官网：http;//upx.sourceforge.net

UPX加壳

通过cmd窗口执行，进入upx目录，执行：

upx.exe fishc.exe

或者直接将exe拖至upx.exe上即可

UPX脱壳

upx -d abc.exe

如果作者在导入表等地方修改的话，这种方式就不可以脱壳了，因为他自己都不认识自己了

一般情况下，加壳的程序均为 pushad

应用堆栈平衡法（ESP改变）找到

最好我们脱壳不要用OD的重建导入表，失败率很高，最好用ImportREC来重建

保存修正的OEP地址，dump

打开ImportREC，替换OEP地址

查看RVA和Size的正确

复制RVA地址+基址4=46B128，最后Set Imports

fix dump

记住保存选择OD生成的dump.exe，会新生成已个dump_.exe

WinUpack加壳

选择选项后将文件拖进来点击压缩即可加壳

他还会生成已个备份bak，以防我们做了错误事情

WinUpack脱壳

C界面寻找401018，应用堆栈平衡法找到OEP

不要选中重建表，保存OEP地址

打开ImportREC，修正基址，修正KVA，修正Size，然后SetImport，最后查看有没有错误信息Show Invalid，Fix dump。

还原后如果嫌弃太大呢，最后也可以LordPE压缩一下

PE Edit，Rebuil PE

35. 脱壳篇-UPX和WinUpack压缩壳的使用和脱法相关推荐

史上最全最完整，最详细，软件保护技术-程序脱壳篇-逆向工程学习记录
title: 程序脱壳篇 date: {{ date }} tags: ['程序壳','程序脱壳篇'] categories: ['程序壳','程序脱壳篇'] excerpt: 壳是最早出现的专用加密 ...
逆向破解程序脱壳篇-压缩壳
一.普及 What?壳所谓"壳"就是专门压缩的工具. 这里的压缩并不是我们平时使用的RAR.ZIP这些工具的压缩,壳的压缩指的是针对exe.com.和dll等程序文件进行压缩,在 ...
脱壳入门（三）之UPX压缩壳
脱壳入门(三)之UPX压缩壳一.找OEP 查壳:UPX壳.链接器版本2.25(可能是Delphi程序).区段信息根据ESP定律寻找OEP OEP定律原理:壳代码就像一个函数,进入时会开辟堆栈.保存 ...
脱壳入门初级教学(第四课常见压缩壳与加密壳)
转自:http://bestmk.cn/thread-491.htm 加壳软件按照其加壳目的和作用,可分为两类:一是压缩(Packers),二是保护(Protectors).压缩这类壳主要目的是减小程 ...
什么是壳 - 脱壳篇01
什么是壳 - 脱壳篇01 让编程改变世界 Change the world by program 壳在自然界中,植物用壳来保护种子,动物用壳来保护身体,我们人类没有壳,但我们有衣服,房子也起到了壳的 ...
31. 脱壳篇-什么是壳
壳:作用就是保护程序. 加壳:先运行壳的代码,对主程序进行压缩或加密保护,因此程序的EP被壳的EP取代脱壳:解压解密,还原之后再用壳调用主程序的EP,主程序的EP叫OEP,主要就是找OEP 第一个对 ...
android+so+upx,UPX压缩壳简介
文件目录首先看看UPX压缩壳的一个特点壳特点拿到一个so文件先放进IDA解析一波,从导出函数列表中我们可以看到一个函数叫做init_proc(),点进去可以看到上面的一大堆IDA识别不了的代码, ...
32. 脱壳篇-简单带壳的程序、反调试带壳的程序（堆栈平衡原理找OEP、代码段设置断点）
第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳一定要点上箭头指向处,dump改名清除区段 ,删除壳,保存第二个程序(市面上 ...
【2022.1.3】手脱压缩壳练习（含练习exe）
[2022.1.3]手脱压缩壳练习(含练习exe) 文章目录 [2022.1.3]手脱压缩壳练习(含练习exe) 0.简介 1.单步跟踪法 (#)方法介绍 (0)练习exe下载 (1).查看源程序 ( ...

最新文章

热门文章