upx壳的一些简单脱壳,望大牛勿喷。
下面是我的脱壳。
手动脱壳
1.ESP定律法查看通用寄存器ESP,数据窗口跟踪。F8单步步入,F4禁止向上跳转
2.单步跟踪法F8单步跟踪,遇CALL F7进入。直到到达OEP,经过多次F8,F4终于到达OEP了,恒大的第三课的跳转好多,逢向上的跳转,用F4。
3.脚本脱壳法这个不需多说了。
4.软件脱壳法,此法完美脱壳,win7 x64下测试通过,正常运行,并且区段无upx0,upx1
5.一步到达oep法,前辈总结的经验。查找POPAD,不要勾选整个块。向下走几步。就可以到达oep,适用于部分壳。POPAD 出栈。
6.内存镜像法,经过两次调用内存,然后在.risc处下断点,最终到达OEP。内存 .rsrc 下断 shift+F9 运行再内存找CODE(资源)下断再执行出来单步跟
以上方法,除了用脱壳机以外,用ollydump脱壳调试进程,用方式一(在内存镜像中搜索JMP[API]︱CALL[API])重建输入表,后会提示,如下图,可能与我x64有关。
如果用方式二(在脱壳文件中搜索DLL&API名称)的话,会提示
还有种方式Lordpe完,重建输入表,我没配置好工具,吾爱专版的不会用,未测试。
用peid查壳后,发现ep段仍然有残留。
UPX
UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含 Windows95/98/ME/NT/2000/XP/CE 程序和动态链接库、DOS 程序、 Linux 可执行文件和核心。
UPX有不光彩的使用记录,它被用来给木马和病毒加壳,躲避杀毒软件的查杀。
UPX是一个著名的压缩壳,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。一般是EXE文件的一种外保护措施,主要用途 :
4、木马,病毒的保护外壳,使之难以为攻破。 仅仅看一个壳upx路径是不能确定什么的。要仔细看看他相对应的文件,如果是杀毒或者是自己已知的文件那就无伤大雅,要是其他疑似,就要认真对待了。
有些软件的安装程序是加壳安装的,属正常现象。建议查杀一下恶意程序、病毒。
对于可执行程序资源压缩,是保护文件的常用手段. 俗称加壳,加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码.
程序为了反跟踪、被人跟踪调试、防止算法程序被别人静态分析就需要加壳。使用加壳软件加密代码和数据,就可以保护你程序数据的完整性,防止被程序修改和被窥视内幕。
Netscape 4.06 |
win32/pe |
netscape.exe |
2,934,336 |
1,124,352 |
0.383 |
Descent 2 |
watcom/le |
descent2.exe |
1,448,873 |
652,832 |
0.451 |
MAME 0.36 |
djgpp2/coff |
mame.exe |
8,214,016 |
1,810,056 |
0.220 |
OneOhOne |
dos/exe |
101.exe |
438,144 |
179,566 |
0.410 |
Emacs 20.2 |
linux/386 |
emacs-20.2 |
2,772,657 |
925,543 |
0.334 |
g++ 2.8.1 |
atari/tos |
cc1plus.ttp |
1,595,049 |
655,508 |
0.411 |
Free UPX 是 UPX 的图形化外壳工具,比纯粹的 UPX 更友好、更易于使用。较其他外壳程序,此工具的可选参数更多。个人感觉,压缩,解压缩也更稳定。
upx壳的一些简单脱壳,望大牛勿喷。相关推荐
- 团体程序设计天梯赛-习题集部分题解(大牛勿喷)
Group program design ladder match - practice set. L1-001. 打印沙漏 时间限制 400 ms 内存限制 65536 kB 代码长 ...
- 教大家如何搭建一个系统可视化清除垃圾工具,(代码很简化,小白也能看得懂)大牛勿喷
前言 今天来更新一个不一样的,咱们今天写一个垃圾清理工具,首先我们要了解,一个垃圾清理工具需要什么,第一需要一个可视化能点击的页面,第二需要功能能够进行清理,下面话不多说直接敲起来 from tkin ...
- RE入门之脱壳——手脱UPX壳
很多加了壳的软件是很难逆向分析的,需要手脱.下面以UPX壳为例简单介绍一下如何手动脱壳 需要工具:x64dbg. 以buuctf中re的新年快乐为例 拿到程序以后使用x64dbg打开. F9运行到程序 ...
- 简单脱壳教程笔记(2)---手脱UPX壳(1)
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...
- 简单脱壳教程笔记(3)---手脱UPX壳(2)
我们接着上一篇 "简单脱壳教程笔记(2)---手脱UPX壳(1)"继续.我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式. 方法2 ...
- 【How2RE】 UPX壳及脱壳方式
0x00 什么是壳 壳是另外在PE文件中包含的代码,并且不影响PE文件正常的执行.而壳也分为很多种,这里从UPX壳开始介绍. 0x01 压缩壳 压缩的分类 压缩的目的就是将体积大的可执行文件缩小的过程 ...
- HZNUCTF REVERSE Signin题解——upx壳区段改名修复,动态调试脱壳
目录 一.查壳 二.修复upx区段名脱壳 三.动态调试脱壳 四.注意事项 题目附件:https://pan.baidu.com/s/1KXNvwOd7WObU-LiikiOd8A?pwd=4l31 ...
- 我悲惨的人生,该死的UPX壳,谁能救救我
一个程序,被加了UPX壳... 结果加壳的人把UPX脱壳的关键参数都给删除掉了,我现在连脱壳都脱不掉... 我从网上下载了UPX最新3.91版本的壳,复制了两个UPX.exe,本来互相加壳和脱壳都没问 ...
- 【快速入门ORM框架之Dapper】大牛勿进系列
[快速入门ORM框架之Dapper]大牛勿进系列 原文:[快速入门ORM框架之Dapper]大牛勿进系列 前言:dapper是什么?Dapper是.NET下一个micro的ORM,它和Entity F ...
最新文章
- Make sure no other Soong process is using it
- python【力扣LeetCode算法题库】55-跳跃游戏
- tensorflow 模型预训练后的参数restore finetuning
- [机器学习] 常用并行计算算子原理
- 让学生员工上夜班加班,供应商“惹怒”苹果:暂停与其新业务合作
- idea 添加配置文件 绿叶子
- 2018 计蒜之道 初赛 第一场
- matlab cplex 死机,matlab Cplex使用
- DIY_实现光敏电阻传感器简单控制LED
- 模拟CMOS集成电路放大器总结(1)
- 国家虚拟仿真实验教学项目共享平台(实验空间)PHP SDK
- Linux项目实训一
- Element-Ui组件 Radio 单选框 修改点击激活时的文本颜色,填充色和边框色
- C语言第五章Structures Unions
- ailx10的hacknet攻略004
- 小梅哥三段式状态机按键消抖改写
- 【论文阅读】InfoGAN: Interpretable Representation Learning by Information Maximizing GAN
- android语言设置,android9.0默认系统语言改为中文
- android studio安卓手机tcp通信打开app自动连接,连接失败自动重试8次
- go 调用c 编译器找不到方法_深度解密Go语言之关于 interface 的10个问题