下面是我的脫殼。
手動脫殼
1.ESP定律法查看通用寄存器ESP,數據窗口跟蹤。F8單步步入,F4禁止向上跳轉
2.單步跟蹤法F8單步跟蹤,遇CALL F7進入。直到到達OEP,經過多次F8,F4終於到達OEP了,恆大的第三課的跳轉好多,逢向上的跳轉,用F4。
3.腳本脫殼法這個不需多說了。
4.軟件脫殼法,此法完美脫殼,win7 x64下測試通過,正常運行,並且區段無upx0,upx1
5.一步到達oep法,前輩總結的經驗。查找POPAD,不要勾選整個塊。向下走幾步。就可以到達oep,適用於部分殼。POPAD 出棧。
6.內存鏡像法,經過兩次調用內存,然後在.risc處下斷點,最終到達OEP。內存 .rsrc 下斷 shift+F9 運行再內存找CODE(資源)下斷再執行出來單步跟
以上方法,除了用脫殼機以外,用ollydump脫殼調試進程,用方式一(在內存鏡像中搜索JMP[API]︱CALL[API])重建輸入表,後會提示,如下圖,可能與我x64有關。
如果用方式二(在脫殼文件中搜索DLL&API名稱)的話,會提示
還有種方式Lordpe完,重建輸入表,我沒配置好工具,吾愛專版的不會用,未測試。
用peid查殼後,發現ep段仍然有殘留。
UPX
UPX (the Ultimate Packer for eXecutables)是一款先進的可執行程序文件壓縮器,壓縮過的可執行文件體積縮小50%-70% ,這樣減少了磁盤佔用空間、網絡上傳下載的時間和其它分佈以及存儲費用。通過 UPX 壓縮過的程序和程序庫完全沒有功能損失和壓縮之前一樣可正常地運行,對於支持的大多數格式沒有運行時間或內存的不利後果。 UPX 支持許多不同的可執行文件格式 包含 Windows95/98/ME/NT/2000/XP/CE 程序和動態鏈接庫、DOS 程序、 Linux 可執行文件和核心。
UPX是一款先進的可執行程序文件壓縮器。壓縮過的可執行文件體積縮小50%-70% ,這樣減少了磁盤佔用空間、網絡上傳下載的時間和其它分佈以及存儲費用。 通過 UPX 壓縮過的程序和程序庫完全沒有功能損失,和壓縮之前一樣可正常地運行。對於支持的大多數格式沒有運行時間或內存的UPX不利後果。它支持許多不同的可執行文件格式 :包含 Windows95/98/ME/NT/2000/XP/CE程序和動態鏈接庫、DOS 程序、Linux 可執行文件和核心。
UPX有不光彩的使用記錄,它被用來給木馬和病毒加殼,躲避殺毒軟件的查殺。
UPX是一個著名的壓縮殼,主要功能是壓縮PE文件(比如exe,dll等文件),有時候也可能被病毒用於免殺.殼upx是一種保護程序。一般是EXE文件的一種外保護措施,主要用途 :
1、讓正規文件被保護起來,不容易被修改和破解。
2、使文件壓縮變小。
3、保護殺毒軟件安裝程序,使之不受病毒侵害。
4、木馬,病毒的保護外殼,使之難以爲攻破。 僅僅看一個殼upx路徑是不能確定什麼的。要仔細看看他相對應的文件,如果是殺毒或者是自己已知的文件那就無傷大雅,要是其他疑似,就要認真對待了。
有些軟件的安裝程序是加殼安裝的,屬正常現象。建議查殺一下惡意程序、病毒。
技術原理
對於可執行程序資源壓縮,是保護文件的常用手段. 俗稱加殼,加殼過的程序可以直接運行,但是不能查看源代碼.要經過脫殼纔可以查看源代碼.
加殼:其實是利用特殊的算法,對EXE、DLL文件裏的資源進行壓縮。類似WINZIP的效果,只不過這個壓縮之後的文件,可以獨立運行,解壓過程完全隱蔽,都在內存中完成。解壓原理,是加殼工具在文件頭裏加了一段指令,告訴CPU,怎麼才能解壓自己。當加殼時,其實就是給可執行的文件加上個外衣。用戶執行的只是這個外殼程序。當執行這個程序的時候這個殼就會把原來的程序在內存中解開,解開後,以後的就交給真正的程序。
壓縮文件
用UPX壓縮過的可執行文件體積縮小50%-70% ,這樣減少了磁盤佔用空間、網絡上傳下載的時間和其它分佈以及存儲費用。 通過 UPX 壓縮過的程序和程序庫完全沒有功能損失和壓縮之前一樣可正常地運行,支持的大多數格式程序,沒有運行時間或內存的不利後果。
加殼脫殼
程序爲了反跟蹤、被人跟蹤調試、防止算法程序被別人靜態分析就需要加殼。使用加殼軟件加密代碼和數據,就可以保護你程序數據的完整性,防止被程序修改和被窺視內幕。
版權信息
Copyright (C) 1996-2007 Markus Franz Xaver Johannes OberhumerCopyright (C)1996-2007 Laszlo MolnarCopyright (C) 2000-2007 John F. ReiserAll RightsReserved.This program may be used freely, and you are welcome toredistribute itunder certain conditions.This program is distributed in the hope that it willbe useful,but WITHOUT ANY WARRANTY; without even the implied warrantyofMERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See theUPX LicenseAgreement for more details.
使用實例
|
Netscape 4.06 |
win32/pe |
netscape.exe |
2,934,336 |
1,124,352 |
0.383 |
|
Descent 2 |
watcom/le |
descent2.exe |
1,448,873 |
652,832 |
0.451 |
|
MAME 0.36 |
djgpp2/coff |
mame.exe |
8,214,016 |
1,810,056 |
0.220 |
|
OneOhOne |
dos/exe |
101.exe |
438,144 |
179,566 |
0.410 |
|
Emacs 20.2 |
linux/386 |
emacs-20.2 |
2,772,657 |
925,543 |
0.334 |
|
g++ 2.8.1 |
atari/tos |
cc1plus.ttp |
1,595,049 |
655,508 |
0.411 |
相關軟件
Upx it
Upx-shell
簡單實用的程序壓縮、解壓縮利器,壓縮率高,支持EXE、COM、DLL、SYS、OCX等多種文件格式的壓縮。海峯電腦家園製作,製作時,採用官方多語言原版,修正使用中文語言包時的顯示錯誤,由於是使用語言包漢化的,第一次使用的時候,需要點擊Options欄,在Select youlanguaga下拉菜單中選擇簡體中文。
Freeupx
Free UPX 是 UPX 的圖形化外殼工具,比純粹的 UPX 更友好、更易於使用。較其他外殼程序,此工具的可選參數更多。個人感覺,壓縮,解壓縮也更穩定。
Free UPX 是一個非常全面的可執行文件壓縮軟件,用於壓縮和解壓縮微軟可移植可執行程序以及COFF規則的EXE, DLL, OCX, BPL, CPL 等,它爲 DOS 版的 UPX 提供友好的使用界面,並增加不少的新的參數與功能,簡單易用。
請注意!反覆壓縮、解壓縮同一個文件,容易出現“未發現文件”的錯誤,這個並不是漢化的原因,原版也同樣有這樣的問題;UPX 在處理文件的時候要更改文件的名稱,在出現上述錯誤時,查看文件所在目錄是否有以.000 或 .UPX 爲擴展名的文件,將其改爲原文件擴展名稱再次處理就好了。
Upxtool+
本文出自 “獨步清風” 博客,請務必保留出處