大家好,又见面了,我是你们的朋友全栈君。
在做CTF-RE题的时候,下载的题目附件会发现缺少函数方法的现象,说明这个文件就被加壳处理了;
这个是加壳状态下的;
脱壳后~~~~~~~
如何发现是加壳的呢?
除了开头所描述的方法,还有第二种 用Exeinfo PE 软件 查看附件信息;
此时这个软件就提示我们这个附件是UPX加壳处理的;
二. 脱壳
这里我只讲一种方法(因为我只会一种方法 -.-) 首先下载好打包好的UPX脱壳工具,
下载链接UPX脱壳
解压下载好:
讲一下用法吧
在这个文件夹当中输入 cmd 进入;
输入upx.exe -h 有如下反应:
安装成功可以正常的使用了!
把需要加壳,去壳的文件拖入同一目录下:
输入加壳命令:upx sample_mal.exe :显示加壳成功。
使用脱壳命令:upx -d sample_mal.exe:提示脱壳成功。
补充一些其他的UPX命令
压缩可执行文件:UPX sample.exe
解压缩可执行文件:UPX -d sample.exe
列表:UPX -l sample.exe
测试压缩过的可执行文件:UPX -t sample.exe
显示版本号:upx -V (注意区分大小写)
显示软件许可声明:UPX -L
具体用法参考 UPX用法
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/161700.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...