2. 程式人生 > >手脫UPX殼的幾種方法

手脫UPX殼的幾種方法

阿新 發佈:2019-02-18

最近在研究各個殼的脫殼方法,有些心得,和大家分享一下如何手脫UPX的殼

我們的流程是 PEID查殼

得知殼的形式為 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo

OD載入,提示為“壓縮程式碼是否繼續分析”,我們選擇否

方法一:單步跟蹤法

程式停在如下圖的地方

F8單步向下執行,注意向上的跳轉

遇到向上的箭頭我們就在下一行 F4(執行到此處),注意,紅色代表跳轉實現,灰色代表沒有實現,我們的目的就是不讓他實現,灰色的我們就不用管,具體的說明一下:

0040E8D6    90              nop

0040E8D7    90              nop

0040E8D8    8A06            mov al,byte ptr ds:[esi]

0040E8DA    46              inc esi

0040E8DB    8807            mov byte ptr ds:[edi],al

0040E8DD    47              inc edi

0040E8DE    01DB            add ebx,ebx

0040E8E0    75 07           jnz short UPX.0040E8E9

0040E8E2    8B1E            mov ebx,dword ptr ds:[esi]

0040E8E4    83EE FC         sub esi,-0x4

0040E8E7    11DB            adc ebx,ebx

0040E8E9  ^ 72 ED           jb short UPX.0040E8D8                   //這裡要往回跳,跳到0040E8D8處

0040E8EB    B8 01000000     mov eax,0x1                               //F4,繼續F8

0040E8F0    01DB            add ebx,ebx

0040E8F2    75 07           jnz short UPX.0040E8FB

我們一路向下執行,發現出現瞭如下的程式碼

兩個向上的跳轉,下面為NOP語句,我的處理辦法是在NOP下一行程式碼 下F4,因為NOP為空,沒有資料。同樣的方法我們繼續F8單步執行。

當然了,程式中有許多類似的向上跳轉,我就不一一敘述,當F8單步執行到一段時間後,你可能就會遇見這樣的情況

重點說明一下:

0040E9F4     F2:AE         repne scas byte ptr es:[edi]
0040E9F6     55            push ebp
0040E9F7     FF96 A4EC0000 call dword ptr ds:[esi+ECA4]
0040E9FD     09C0          or eax,eax
0040E9FF     74 07         je short NOTEPAD.0040EA08
0040EA01     8903          mov dword ptr ds:[ebx],eax
0040EA03     83C3 04       add ebx,4
0040EA06   ^ EB E1         jmp short NOTEPAD.0040E9E9                         //要往回跳了
0040EA08     FF96 A8EC0000 call dword ptr ds:[esi+ECA8]                //關於這個call,不同的程式不一樣,我的跑飛了,再次執行時我直接跳過了
0040EA0E     61            popad                                                                    //這裡F4,繼續F8
0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC                           //在這裡直接跳到了OEP

在脫殼的時候。我們要注意popad這個指令,它的出現標誌著我們的程式可能到達OEP

我們到達OEP了,然後使用OD自帶的脫殼工具進行脫殼

方法二:ESP定律手動脫殼

F8單步執行,發現右邊的暫存器ESP處變紅,說明此處可以進行ESP定律

dd 0012FFA4回車, 斷點--硬體訪問--WORD,F9執行,直接來到這裡


0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC                     //來到這 單步就到了OEP

脫殼步驟和上面一樣

方法三:記憶體映象法

ALT+M開啟記憶體
找到.rsrc,F2下斷,F9執行

ALT+M開啟記憶體

找到UPX0,F2下斷,F9執行

出現如下圖所示

說明一下:

0040EA01     8903          mov dword ptr ds:[ebx],eax                    //來到這,F8繼續

0040EA03     83C3 04       add ebx,4

0040EA06   ^ EB E1         jmp short NOTEPAD.0040E9E9

0040EA08     FF96 A8EC0000 call dword ptr ds:[esi+ECA8]

0040EA0E     61            popad                                                        //即將到達oep

0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC

最後一種辦法:    秒到oep法

直接CTRL+F,輸入popad

0040EA0E     61            popad                                                //F2下斷,F9執行,F2取消斷點,單步F8
0040EA0F   - E9 B826FFFF    jmp NOTEPAD.004010CC

單步向下,最後到達了OEP

最後特別的提醒一下,我們發現jmp是一個很大的跳轉,遇到大的跳轉我們就要留意

可能不只這幾個方法,常用的脫殼方法共計大概7種左右,只是針對UPX的殼目前這幾種最好用,歡迎大家來探討

相關推薦

UPX方法

最近在研究各個殼的脫殼方法,有些心得,和大家分享一下如何手脫UPX的殼 我們的流程是 PEID查殼 得知殼的形式為 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD載入,提示為“壓縮程式碼是否繼續分析”

sql庫的方法

發現 navi 無法 postgresq 進行 posit 過程 highlight 構造 當發現sql註入之後,脫庫的方法,有以下幾種: (1)當目標主機支持外部連接時,使用Navicat 進行連接!當時目標主機不同,使用的Navicat種類不一樣: mysql :

160個crackme之005ajj.2破解思路及UPX還有手動修復IAT

(感覺標題好長 哎呀 不重要了 本文以一個新手的角度來寫)我們先觀察下都給了什麼還有一個txt文字 開啟看看 我還百度了下SOFTICE和TRW 至於TRW不知道是不是這個TRW2000操作手冊https://www.pediy.com/kssd/tutori

簡單教程筆記(2)---UPX(1)

       本筆記是針對ximo早期發的脫殼基礎視訊教程,整理的筆記。        ximo早期發的脫殼基礎視訊教程 下載地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%

線程同步的方法

並且 word 進行 void 等待 輸出結果 每次 wait 無法訪問 用什麽關鍵字修飾同步方法 ? 用synchronized關鍵字修飾同步方法 同步有幾種實現方法,都是什麽?分別是synchronized,wait與notify wait():使一個線程處於等待狀

SQL Server遍歷表的方法

都是 遍歷 lec delet -s rop itl 想要 temp  在數據庫開發過程中,我們經常會碰到要遍歷數據表的情形,一提到遍歷表,我們第一印象可能就想到使用遊標,使用遊標雖然直觀易懂,但是它不符合面向集合操作的原則,而且性能也比面向集合低。當然,從面向集合操作的角

Html中嵌套其他HTML文件的方法(轉)

java mar net rip gin bsp ace wid style 給大家整理了3個方法,一個是HTML的iframe標簽,別兩個是JS引用。比如要在arr.html文件裏引用index.html文件,方法如下。 HTML引用方法: <iframe na

將HTML5封裝成android應用APK文件的方法

android作為下一代的網頁語言,HTML5擁有很多讓人期待已久的新特性。HTML5的優勢之一在於能夠實現跨平臺遊戲編碼移植,現在已經有很多公司在移動 設備上使用HTML5技術。隨著HTML5跨平臺支持的不斷增強和智能手機的迅速普,HTML5技術有著非常好的發展前景,甚至有人預言HTML5將引燃 移動平臺遊

C#多線程的方法

task start invoke 數組 erl method 並行計算 bsp nbsp 1、Theard2、TheardPool 線程池3、Task 在Theard上做了優化和改進,建議使用 .start();4、Task.Factory.Start(method)

Java中創建數組的方法

java false 三種 數組下標 [1] [] 判斷 color str Java中創建數組的幾種方法 public static void main(String[] args) { //創建數組的第一種方法 int[] arr=new int[6]; int

克隆對象的方法

克隆 type sharp class 以及 each pcl 反射 tor   克隆對象在開發過程中經常會遇到,有些時候需要淺克隆,有些時候需要深克隆,具體它們之間有什麽區別,以及實現方式有哪些,在這裏總結一下。   實現深克隆有以下幾種方法。 手動 代碼如下:

windows系統字體安裝使用的方法

windows ps 字體簡易安裝方法:1、打開系統盤的 windows 下的 fonts 文件夾;2、用另一個窗口打開字體存放的文件夾;3、在存放字體的文件夾中選擇要安裝的字體(部分選或全選均可);4、用鼠標右鍵將所選字體拖到windows 下的 fonts 文件夾上,松開鼠標,在彈出的提示框上選擇

liunx下獲取網卡地址的方法

liunx下獲取網卡地址的幾種方法CentOS Linux release 7.2.1511 (Core)系統獲取網卡ipifconfig em1|awk ‘NR==2 {print $2}‘ifconfig em1|sed -n ‘2p‘|cut -d ‘ ‘ -f 10ifconfig em1|sed -

UPX(堆棧平衡原理)

原理 http logs -- -1 nbsp 訪問 ges .cn 一開始看到pushad F8執行直到只有esp,eip,變化 在esp處follow in dump 下硬件訪問斷點 F9運行在硬件斷點停下 到達一個長

(轉)Unity3D中移動物體位置的方法

多種方式 移動 2.4 包括 簡介 調用 在外 blank targe 1. 簡介 在unity3d中,有多種方式可以改變物體的坐標,實現移動的目的,其本質是每幀修改物體的position。 2. 通過Transform組件移動物體 Transform 組件

spring mvc獲取絕對路徑的方法

col 文件 結果 ret 項目 tps span ppr etc 1.首先如果是在一個controller方法中,則很簡單,直接用下面語句。 1 @RequestMapping("categoryHome") 2 public ModelAndVie

判斷JS數據類型的方法

object sta 無效 追溯 是否 執行 都是 undefine 代碼 原文轉自http://www.cnblogs.com/onepixel/p/5126046.html! 說到數據類型,我們先說一下JavaScript 中常見的幾種數據類型: 基本類型:string

Linux 技巧:讓進程在後臺可靠執行的方法

stl 選項 con 中斷 program ng- dem 不同 正在 我們常常會碰到這種問題。用 telnet/ssh 登錄了遠程的 Linux server,執行了一些耗時較長的任務, 結果卻因為網絡的不穩定導致任務中途失敗。怎樣讓命令提交後不受本地關閉終端

本地文件上傳到Linux服務器的方法

scp xftp u盤掛載 本文介紹幾種常見的方法,把文件上傳到Linux服務器中!常見有使用:scp命令、xshell軟件裏的xftp程序、U盤掛載、服務器自帶的lrzsz程序。一、scp使用說明:1、把本機的文件傳給目的服務器:scp get66.pcap [email protec

DIV實現垂直居中的方法

水平居中 好的 parent 間接 z-index -c 實現 解決 ble 說道垂直居中,我們首先想到的是vertical-align屬性,但是許多時候該屬性並不起作用。例如,下面的樣式並不能達到內容垂直居中顯示 1 div { 2 width:200px;