大家好,又见面了,我是你们的朋友全栈君。
一、静态方法
upx -d
有时候可能会失败,需要切换使用正确的UPX版本。Windows下内置对各UPX版本的第三方图形化界面UPXShell工具,可以方便的切换版本,通过go按钮,可以切换upx加壳版本与脱壳版本
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/73b675a7-43e2-428f-9c93-52fc397937f2202207125f9ff62b-bd4d-4963-9ba4-04fa4861ec0e1.jpg)
![upx脱壳日记[通俗易懂]](http://javaforall.cn/wp-content/themes/justnews/themer/assets/images/lazy.png)
二、动态方法(手脱)
虽然UPX本身可以脱壳,但是UPX是基于加壳后可执行文件内存储的标识来查找并操作的,由于UPX是开源的,软件保护者可以随意修改这些标识,从而导致官方标准版本的UPX脱壳失败。因为UPX中可以改动的地方太多,所以人们在这种情况下一般采用动态脱壳
x86的汇编指令pushad可以轻松将所有寄存器一次性压入栈,UPX使用了这样的方式,被形象的称为“保护现场”,所以将这里的下一步执行后,在esp下硬件读取断点,再次调用就是esp返回的时候,我们直接就可以回到原来的程序执行流
执行过程:
先F8到pushad的下一步,然后在寄存器那边右键ESP,”HW break [ESP]”下硬件断点
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/8a3dd944-cac2-43ee-be38-980a5271d827202207126d791085-7889-47fc-9526-b131dd9ad8b41.jpg)
设置完成后,F9运行,再次中断到一个地址
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/aaa5b971-46c1-4e2d-a7cd-719c704a7fde20220712fd0e28a4-f349-4051-bf84-5702309cd4291.jpg)
实际上这是一个将栈空间向上清零0x80长度的循环,并不是程序真实代码,后面有一个向前的大跳转,从0x430638跳到0x404ddc,这样就跳到原程序的位置
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/c0bbe75c-1a94-40fa-a940-c4e838cb6351202207121c0268cd-4e9d-46cf-8108-f607ca2eb9bd1.jpg)
单击这一按jmp指令,然后F4,使程序跳到此指令上执行,然后F8,此时看起来已经很正常了
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/18acf95e-d07f-41a1-9d09-2277f08ff52320220712c30373ae-d100-41a7-b96e-0d2e3a21fbfa1.jpg)
然后对程序dump。在OD中选择“插件”-“OllyDump”-“脱壳正在调试的进程”,然后单击获取EIP作为OEP,再单击脱壳,保存后可完成脱壳
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/3a26d6fe-9510-4772-8630-75bed0d3191520220712b65e3c7c-f4fc-49b6-b3e7-401ee5055dc71.jpg)
此时IDA中和程序执行都已正常
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/1632fd52-289a-4723-a6d4-30beea435ef020220712b602bbbe-ed04-478a-95de-68a32830619c1.jpg)
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/c1e97392-831d-4b7e-a864-35b6c1e1809320220712da372c42-af4b-4953-b078-3370ea66fab71.jpg)
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/157967.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...
