恶意软件分析实战15-UPack脱壳Lab18-5
拖入PIED分析, 发现加了UPack壳
拖入OD内显示如下,不停的单步往下跳
如果遇到这种大跳转则直接F4到下面
直到碰到这个地方, 这里红色的箭头都是在一个范围内跳转,唯一跳出这个范围的箭头是白色的。在白色箭头指向的地方下断点后运行。
果然发现跳转到了这个位置,之后观察这个je, 其会跳转到ret,可以感觉到这个retn是跳往OEP的
但是可以发现跳转没有实现
在这个大循环的过程中,在eax内看到很多API。很显然这是在构建导入表
果断在retn处下断点后运行
跳转后发现到了这个位置,看到这里不要慌。可以用OllyDump也可以用LordPE来dump出来,这里应该就是OEP了。
选中对应进程后先修正下镜像大小:
然后选择完整转存
转存好了。接下去修复导入表,打开ImportREC
选中这个正在调试的进程:
修改OEP成1190, 这个401190如果是OEP的话,那么它的组成应该是ImageBase(400000) + AddressOfEntryPoint(1190)。这里的OEP就是指1190即入口点RVA。
先点击自动搜索
接着点击获取输入表并点击修复转存文件。这个转存文件就是我们刚刚用LordPE转存下来的dumpped.exe。
选中然后打开即可
这里就显示成功了
现在再来看看PEID:
查看一下PE来对比下内容:
脱壳前连导入表都无法显示:
脱壳后的导入表:
对了,在修复导入表时还可能遇到类似于这种情况, 有无效的导入表,这怎么办
点击显示无效函数:
在上面右击后直接选删除即可。
接下来的步骤还是一样:
(完)
恶意软件分析实战15-UPack脱壳Lab18-5相关推荐
- 恶意代码分析实战 15 加壳与脱壳
分析样本Lab18-01.exe到Lab18-05.exe. 15.1 Lab18-01 将程序拖入PEiD. 使用深度搜索,发现是UPX的壳. 拖入OD中进行脱壳.手动脱壳的目的就是找到OEP也就是 ...
- 恶意软件分析实战02-分析3个恶意程序
1. Lab03-01 vt上一搜发现鉴别为恶意软件. 拖到PEID内一查,加了一个壳PEncrypt 3.1 Final -> jnukcode. 我好气,脱了我一个多小时没脱下来.想想算了, ...
- ArcGIS水文分析实战教程(15)库容和淹没区计算
ArcGIS水文分析实战教程(15)库容和淹没区计算 本章导读:虽然前面已经有章节论述过书库库容计算,但在这里笔者还是需要对整个流程做系统的描述.这部分内容属于水文分析的进阶部分,不再停留在基础的河流 ...
- 15 OpenCV4图像处理与视频分析实战(50.背景分析-)
15 OpenCV4图像处理与视频分析实战(50.背景分析-) 一.50.背景分析- 来自网易云课堂(贾志刚) 一.50.背景分析- 大家我们就从中呢学会了一些东西,我们如果想把一些就是呃,更多的一些 ...
- 15 OpenCV4图像处理与视频分析实战(49.基于颜色的对象跟踪-.)
15 OpenCV4图像处理与视频分析实战(49.基于颜色的对象跟踪-) 一.49.基于颜色的对象跟踪-. 二,代码 来自网易云课堂(贾志刚) 一.49.基于颜色的对象跟踪-. 二,代码 #inclu ...
- 《Spark商业案例与性能调优实战100课》第15课:商业案例之纯粹通过DataSet进行电商交互式分析系统中各种类型TopN分析实战详解
<Spark商业案例与性能调优实战100课>第15课:商业案例之纯粹通过DataSet进行电商交互式分析系统中各种类型TopN分析实战详解
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...
1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...
- 恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器
为什么80%的码农都做不了架构师?>>> 基本信息 作者: (美)Michael Hale Ligh Steven Adair Blake Hartstein ...
- MS08067 第一期 “恶意代码分析”实战班 正式开班~
文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...
- 恶意代码分析实战Lab1
第一章静态分析基础技术 恶意代码分析实战 恶意代码样本下载 1.1反病毒引擎扫描 1.2哈希值 1.3查找字符串 1.4加壳与混淆恶意代码 1.5PE文件格式 1.6链接库与函数 1.7静态分析技术实 ...
最新文章
- 【2018-01-22】HTML-表单及表单元素
- 北大港大,都将落地深圳!
- 全球首个塑料ARM芯片登上Nature,成本仅同类硅芯片1/10
- 自学python入门-自学Python编程基础学习笔记 PDF 完整超清版
- python和java哪个-Python与Java-你首选哪个?
- SQL语句,统计一段时间内有多少个工作日
- 两种方法实现在HTML页面加载完毕后运行某个js
- java final 方法重载_java方法重载和覆写的定义,static和final修饰符的讲解,java面试题...
- 1600: 卡斯丁狗要吃糖葫芦-回文串
- 用GDI+转BMP为WMF、EXIF、EMF格式
- 逻辑分析推理(戴帽子问题)博弈
- Spring Cloud 全家桶 入门介绍
- 英特尔商用攻略升级:企业如何趟平信息化建设这条路?
- 前端面试常考的手写代码不是背出来的!
- 持续集成(一)思想篇
- oracle time model,通过案例学调优之--OracleTimeModel(时间模型)
- python爬虫网易云音乐最热评论并分析_Python3实现爬虫抓取网易云音乐的热门评论分析(图)...
- 学习Unix其实就这样简单
- Django项目实践2 - Django模板(view-html)
- 学习笔记--对最近学习的总结
热门文章
- [转]《牵一只蜗牛去散步》台湾 张文亮
- 计算机删除默认共享怎样操作,清除windows默认共享方法
- 使用web-play开发web应用
- 条件运算符 c语言,C语言 —— 条件运算符
- Linux+v4l2自动设置相机曝光时间
- socket+threading实现python多人局域网聊天室
- c语言从入门到弃坑,从入门到放弃?《全面战争:三国》是怎么让我半小时内弃坑的...
- 云片网发送短信验证码
- 《When you are old》一如苇中的风,轻柔却难忘
- Vue基础语法之@click、时间修饰符@click.stop与@click.prevent、按键修饰符(如@keyup.enter)