网站开发开票编码归属,厦门seo排名优化,郑州世界工厂网,云网站功能文章目录 1、手脱UPX壳简介#xff1a;脱壳#xff1a;笔记#xff1a;方法1#xff1a;单步跟踪#xff08;需要有耐心#xff09;一、使用ODE插件二、tools按钮选择LordPE进行脱壳#xff08;提前在SETUP PATHS里添加好#xff09; 方法2#xff1a;ESP定律法方法3脱壳笔记方法1单步跟踪需要有耐心一、使用ODE插件二、tools按钮选择LordPE进行脱壳提前在SETUP PATHS里添加好 方法2ESP定律法方法32次内存镜像法方法4一步直达法 2、手脱ASPACK壳简介使用工具笔记方法一单步跟踪方法二ESP定律法方法三一步直达法方法四2次内存镜像法方法五模拟跟踪方法六SPX 3、手脱Nspack壳脱1.3版本版本2.3和3.7版本 4、手脱FSG壳脱壳方法1修复方法2方法3FSG2.0 1、手脱UPX壳
简介
UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器压缩过的可执行文件体积缩小50%-70%主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。
脱壳
工具 ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件 01.rmvbfix.exe
笔记
1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳们这里使用四种方法来进行脱壳无论使用哪种我们都需要找到OEP位置然后进行脱壳即可。
方法1单步跟踪需要有耐心
单步跟踪法
要点将程序拖入到OD中一步一步单步跟踪执行原则向上跳转不能让其实现向下跳转可以实现。 操作 1将程序加载如OD中会弹出是否自动分析的对话框。当我们确定程序是被加壳的情况下我们选择否否则我们选择是。
2 找OEP 由于我们使用的是单步跟踪我们可以按F8进行单步执行。 3当向下跳转可以实现继续单步即可 向上跳转不能让其实现 将代码运行到跳转的下一行选中该行右键——断点——运行到选中位置 或直接F4即可 或者设置断点——运行——取消断点 注意当jmp下面是call的情况我们要在call的下面下断点如下图我们就需要在papad的位置下断点 4 当我们发现有出栈popad的时候并且紧跟着一个大的跳转的时候那么要调到的位置一般就是OEP的位置 5我们进入到OEP位置 6找到OEP后 我们就可以进行脱壳
一、使用ODE插件 有两种方式然后点脱壳保存
二、tools按钮选择LordPE进行脱壳提前在SETUP PATHS里添加好 然后右键修复镜像大小、选择完整转存 使用ImportREConstructor 进行修复先选择需要脱壳的程序 根据OD中的地址计算出OEP OEPVA(0047738C)-加载基址(00400000) 及刚才插件显示的7738C 然后获取导入表显示无效的最后进行修复 7、查看脱壳是否成功
方法2ESP定律法
ESP定律法
1、单步 只有ESP突变
2、右键 在数据窗口跟随 或者在输入dd xxxx / hr xxxx(ESP值)
3、右键设置断点——硬件访问断点——word/Dword 在之前把其余断点删除 然后运行
然后再删除硬件断点单步到达OEP 重复方法一步骤6
方法32次内存镜像法
2次内存镜像法
1、第一次查找内存或者上排的M直达 2、找到程序段的第一个.rsrc资源文件字下段然后运行
3、第二次找内存00401000下段运行 4、单步跳转到达OEP
方法4一步直达法
一步直达法
1、右键或ctrlf查找popad 去掉整个块的√ 2、若不是需要的就ctrlL继续查找运行到popad 两种方法都可以 3、单步跳转到OEP
2、手脱ASPACK壳
简介
AsPack是高效的Win32可执行程序压缩工具能对程序员开发的32位Windows可执行程序进行压缩使最终文件减小达70%
使用工具
PEid、OD
笔记
方法一单步跟踪
1、单步到call 再F8发现程序会运行
按F7或这个键进入call 跳转 继续单步 又有一个call会运行 继续F7 继续单步向上跳转F4再继续单步 来到OEP 2、脱壳记住修正地址 3、查看是否成功
方法二ESP定律法
1、看关键句的下一句单步ESP突变 2、数据窗口跟随 3、下段 3、运行一下删掉断点 4、继续单步到OEP
方法三一步直达法
一步直达法
方法四2次内存镜像法
2次内存镜像法
方法五模拟跟踪
模拟跟踪法
1、进入内存m找到包含SFX的 2、tc eip地址 回车 OD左上角显示跟踪字样会自动跳到OEP
方法六SPX
1、选项——调试设置——SFX 选择第二个
重载一下 自动跳转到OEP
3、手脱Nspack壳
脱1.3版本
单步到call ESP突变也用ESP定律法 也可用单步跟踪法 或者 模拟跟踪法 tc eip0043000
或者 2次内存镜像法 没有.rsrc的话直接在内存00401000下段运行 或者 at GetVersion 适用于3.0之前的版本 然后在retn下断点F2——运行——取消断点F2——单步F8
版本2.3和3.7版本
无特别差异
4、手脱FSG壳
脱壳
方法1
可用单步跟踪法 在jmp处下断点——单步 直接跳转OEP 使用LORDPE脱壳后发现无法运行
修复
找个这种call 前面和脱壳步骤一样找到425210-40000025210位置 对应 命令行 输入 d425210 向上向下翻找到并记录边界值 上边界地址00425000 下边界地址00425280 RVA值为上边界00425000-0040000025000 大小为下边界-上边界 25280-25000280 为了方便可直接填写1000
方法2
单步到这发现ESP突变可以ESP定律法
方法3FSG2.0
特殊ESP定律法不遵循堆栈定义 单步到popad下面看堆栈第四行 右键——反汇编窗口中跟随 下硬件断点 shiftF9跳转到OEP
