UPX脱壳总结

UPX脱壳总结我近期研究了一下UPX壳的脱壳方法,下面给出脱壳示例:UPX作为一款元老级PE加密壳,在以前的那个年代盛行,著名病毒【熊猫烧香】就是使用这款加密壳。现在我们一起来脱UPX壳来揭开它的神秘面纱。首先,PEiD载入含UPX壳的程序,结果如下:UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo然后用OD载入,OEP如下:

大家好,又见面了,我是你们的朋友全栈君。

我近期研究了一下UPX壳的脱壳方法,下面给出脱壳示例:

UPX作为一款元老级PE加密壳,在以前的那个年代盛行,著名病毒【熊猫烧香】就是使用这款加密壳。
现在我们一起来脱UPX壳来揭开它的神秘面纱。
首先,PEiD载入含UPX壳的程序,结果如下:

UPX脱壳总结

UPX脱壳总结

UPX 0.89.6 – 1.02 / 1.05 – 1.24 -> Markus & Laszlo

然后用OD载入,OEP如下:

UPX脱壳总结

0040E8C0 >  60              PUSHAD
0040E8C1    BE 15B04000     MOV ESI,UPX.0040B015
0040E8C6    8DBE EB5FFFFF   LEA EDI,DWORD PTR DS:[ESI+FFFF5FEB]
0040E8CC    57              PUSH EDI
0040E8CD    83CD FF         OR EBP,FFFFFFFF
0040E8D0    EB 10           JMP SHORT UPX.0040E8E2
0040E8D2    90              NOP
0040E8D3    90              NOP
0040E8D4    90              NOP
0040E8D5    90              NOP
0040E8D6    90              NOP
0040E8D7    90              NOP

然后单步跟踪……直到大跳转:

UPX脱壳总结UPX脱壳总结

UPX脱壳总结

0040EA0F  – E9 B826FFFF     JMP UPX.004010CC
0040EA14    0000            ADD BYTE PTR DS:[EAX],AL
0040EA16    0000            ADD BYTE PTR DS:[EAX],AL
0040EA18    0000            ADD BYTE PTR DS:[EAX],AL
0040EA1A    0000            ADD BYTE PTR DS:[EAX],AL
0040EA1C    0000            ADD BYTE PTR DS:[EAX],AL
0040EA1E    0000            ADD BYTE PTR DS:[EAX],AL
0040EA20    0000            ADD BYTE PTR DS:[EAX],AL

跟踪到这里,发现后面均为填充位,于是跟进跳转:

004010CC    55              PUSH EBP
004010CD    8BEC            MOV EBP,ESP
004010CF    83EC 44         SUB ESP,44
004010D2    56              PUSH ESI
004010D3    FF15 E4634000   CALL DWORD PTR DS:[4063E4]               ; kernel32.GetCommandLineA
004010D9    8BF0            MOV ESI,EAX
004010DB    8A00            MOV AL,BYTE PTR DS:[EAX]
004010DD    3C 22           CMP AL,22
004010DF    75 1B           JNZ SHORT UPX.004010FC
004010E1    56              PUSH ESI
004010E2    FF15 F4644000   CALL DWORD PTR DS:[4064F4]               ; USER32.CharNextA
004010E8    8BF0            MOV ESI,EAX
004010EA    8A00            MOV AL,BYTE PTR DS:[EAX]

发现熟悉的Win32API了,程序入口就在这里了。

果断使用OllyDump,

UPX脱壳总结

EIP作为OEP,脱壳,

UPX脱壳总结

将新PE程序保存为aaa.exe,

UPX脱壳总结

然后运行aaa.exe,

UPX脱壳总结

结果与脱壳前一样,脱壳成功!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/157945.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • Linux删除文件命令「建议收藏」

    Linux删除文件命令「建议收藏」删除文件(即这个文件被删除) 单个删除:rm-f+文件名 eg:rm-f2018_12_26.stderrout.log.060121612–执行完成即将这个文件删除 批量删除:rm-f+*文件关键字* eg:rm-frm*stderrout.log*–执行完成后即将所有的名称包括stderrout.log的文件都删除(前面后面的*按照实际…

  • SQL模糊查询LIKE「建议收藏」

    SQL模糊查询LIKE「建议收藏」%由零个或者多个字符组成的任意字符串_任意单个字符串[]指定范围,例如[A~F]表示A到FZ范围内任意单个字符串[^]指定范围之外,例如[^A~F]表示A到F范围以外任意单个字符串LIKE通配符LIKE‘%ma%’…

  • 软件工程 毕业设计题目汇总表_新颖的软件工程毕业设计题目

    软件工程 毕业设计题目汇总表_新颖的软件工程毕业设计题目软件工程毕业设计题目汇总【不断更新中】1.微信小程序校园表白墙微信小程序2.房屋租赁管理系统3.航空售票管理系统4.高校会议室管理系统5.高校就业管理系统6.失物招领系统7.图书销售系统8.微信小程序商城系统9.微信小程序资料分享系统10.微信小程序校园点歌系统11.校园资料分享系统12.电影网站系统13.人事管理系统14.视频教学网站15.网…………

    2022年10月21日
  • faster-rcnn中,对RPN的理解

    faster-rcnn中,对RPN的理解先放两张图,上面是原文中对RPN的原理说明;下图是k个anchorboxes(k=9)的生成。原文中rcnn部分的截图(上面anchorboxes示意图都是转自其他人的博客)anchor机制:特征图上的一个点对应原图的一个小区域(比如上图中的蓝色正方形),在这个小区域上可以生成k个anchorboxes(所有anchorboxes的中心点坐标是一样的,就是对应原图中这…

  • gateway网关的作用_gateway网关集群

    gateway网关的作用_gateway网关集群为啥要有网关大型系统在设计之初就会拆分为多个微服务,客户不可能都按每个服务的服务器地址进行访问,因为每个服务对应一个指定的Url,人咋记那么多的地址,这样我们是不是需要一个统一的入口公开给客户,去解决这种调用问题,同时,AJAX虽说可以进行异步请求实现局部刷新,但是不能解决跨域对吧,之前我们怎么进行跨域处理的,用的是在controller层添加@CrossOrign注解,解决跨域问题。单体项目还好说,那么在微服务项目中可能又成千上百的服务,那我都要一个个加吗?而且有的服务还可能存在着没有controll

    2022年10月11日
  • 基础版的音频功放电路(A类功放电路、B类功放电路、C类功放电路、D类功放电路、G类功放电路、H类功放电路、K类功放电路、T类功放电路)[通俗易懂]

    基础版的音频功放电路(A类功放电路、B类功放电路、C类功放电路、D类功放电路、G类功放电路、H类功放电路、K类功放电路、T类功放电路)[通俗易懂]  作为硬件工程师,特别是做纯粹模拟电路、应用于音频功放的工程师,对于A类,B类,AB类,D类,G类,H类,T类功放应该特别熟悉。大多数工程师或许只知道其中的一部分、或者知道大概,为了让更多的工程师掌握更加详尽的音频功放知识,下文对以上说的音频功放做详细的说明。  引用地址:http://www.eepw.com.cn/article/201611/340477.htm  功放,顾名思义,就是功率放大的缩写。与电压或者电流放大来说,功放要求获得一定的、不失真的功率,一般在大信号状态下工作,因此,功放电路

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号