文章目录
- 1、手脱UPX壳
- 简介:
- 脱壳:
- 笔记:
- 方法1:单步跟踪(需要有耐心)
- 一、使用ODE插件
- 二、tools按钮选择LordPE进行脱壳(提前在SETUP PATHS里添加好)
- 方法2:ESP定律法
- 方法3:2次内存镜像法
- 方法4:一步直达法
- 2、手脱ASPACK壳
- 简介:
- 使用工具:
- 笔记:
- 方法一:单步跟踪
- 方法二:ESP定律法
- 方法三:一步直达法
- 方法四:2次内存镜像法
- 方法五:模拟跟踪
- 方法六:SPX
- 3、手脱Nspack壳
- 脱1.3版本
- 版本2.3和3.7版本
- 4、手脱FSG壳
- 脱壳
- 方法1
- 修复
- 方法2
- 方法3:FSG2.0
1、手脱UPX壳
简介:
UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。
脱壳:
工具:
ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脱壳文件:
01.rmvbfix.exe
笔记:
1、使用ExeinfoPE或PEid确定是否加壳
2、脱壳,们这里使用四种方法来进行脱壳,无论使用哪种,我们都需要找到OEP位置,然后进行脱壳即可。
方法1:单步跟踪(需要有耐心)
单步跟踪法
要点:将程序拖入到OD中,一步一步单步跟踪执行,原则向上跳转不能让其实现,向下跳转可以实现。
操作
1)将程序加载如OD中,会弹出是否自动分析的对话框。当我们确定程序是被加壳的情况下,我们选择否,否则我们选择是。
2) 找OEP 由于我们使用的是单步跟踪,我们可以按F8进行单步执行。
3)当向下跳转可以实现,继续单步即可
向上跳转不能让其实现
将代码运行到跳转的下一行:选中该行,右键——断点——运行到选中位置 或直接F4即可
或者设置断点——运行——取消断点
注意:当jmp下面是call的情况,我们要在call的下面下断点,如下图,我们就需要在papad的位置下断点
4) 当我们发现有出栈popad的时候,并且紧跟着一个大的跳转的时候,那么要调到的位置一般就是OEP的位置
5)我们进入到OEP位置
6)找到OEP后 我们就可以进行脱壳,
一、使用ODE插件
有两种方式,然后点脱壳,保存
二、tools按钮选择LordPE进行脱壳(提前在SETUP PATHS里添加好)
然后右键修复镜像大小、选择完整转存
使用ImportREConstructor 进行修复,先选择需要脱壳的程序
根据OD中的地址,计算出OEP, OEP=VA(0047738C)-加载基址(00400000) 及刚才插件显示的7738C
然后获取导入表,显示无效的,最后进行修复
7、查看脱壳是否成功
方法2:ESP定律法
ESP定律法
1、单步 只有ESP突变
2、右键 在数据窗口跟随
或者在输入dd xxxx / hr xxxx(ESP值)
3、右键设置断点——硬件访问断点——word/Dword ( 在之前把其余断点删除)
然后运行
然后再删除硬件断点,单步到达OEP
重复方法一步骤6
方法3:2次内存镜像法
2次内存镜像法
1、第一次查找内存或者上排的M直达
2、找到程序段的第一个.rsrc资源文件字,下段,然后运行
3、第二次找内存00401000下段,运行
4、单步跳转,到达OEP
方法4:一步直达法
一步直达法
1、右键或ctrl+f查找popad ,去掉整个块的√
2、若不是需要的就ctrl+L继续查找,运行到popad 两种方法都可以
3、单步跳转到OEP
2、手脱ASPACK壳
简介:
AsPack是高效的Win32可执行程序压缩工具,能对程序员开发的32位Windows可执行程序进行压缩,使最终文件减小达70%!
使用工具:
PEid、OD
笔记:
方法一:单步跟踪
1、单步到call 再F8发现程序会运行
按F7或这个键进入call
跳转
继续单步 又有一个call会运行 继续F7
继续单步,向上跳转F4,再继续单步
来到OEP
2、脱壳,记住修正地址
3、查看是否成功
方法二:ESP定律法
1、看关键句的下一句,单步,ESP突变
2、数据窗口跟随
3、下段
3、运行一下,删掉断点
4、继续单步到OEP
方法三:一步直达法
一步直达法
方法四:2次内存镜像法
2次内存镜像法
方法五:模拟跟踪
模拟跟踪法
1、进入内存m,找到包含SFX的
2、tc eip<地址 ,回车 ,OD左上角显示跟踪字样,会自动跳到OEP
方法六:SPX
1、选项——调试设置——SFX 选择第二个
重载一下
自动跳转到OEP
3、手脱Nspack壳
脱1.3版本
单步到call ,ESP突变也用ESP定律法
也可用单步跟踪法
或者 模拟跟踪法
tc eip<0043000
或者 2次内存镜像法
没有.rsrc的话,直接在内存00401000下段,运行
或者 at GetVersion (适用于3.0之前的版本)
然后在retn下断点F2——运行——取消断点F2——单步F8
版本2.3和3.7版本
无特别差异
4、手脱FSG壳
脱壳
方法1
可用单步跟踪法
在jmp处下断点——单步 直接跳转OEP
使用LORDPE脱壳后发现无法运行
修复
找个这种call
前面和脱壳步骤一样,找到425210-400000=25210位置
对应
命令行 输入 d425210
向上向下翻找到并记录边界值
上边界地址00425000
下边界地址00425280
RVA值为上边界:00425000-00400000=25000
大小为下边界-上边界 :25280-25000=280 为了方便可直接填写1000
方法2
单步到这发现ESP突变,可以ESP定律法
方法3:FSG2.0
特殊ESP定律法,不遵循堆栈定义
单步到popad下面,看堆栈第四行
右键——反汇编窗口中跟随
下硬件断点
shift+F9跳转到OEP
