简单脱壳教程笔记(2)---手脱UPX壳(1)

       本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。

       ximo早期发的脱壳基础视频教程 下载地址如下:          

 http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z


        本笔记用到的工具下载地址:

http://download.csdn.net/detail/obuyiseng/9466056

      简介:

          UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。

    

     脱壳:

     工具:

               ExeinfoPE或PEid、OD、LordPE、ImportREConstructor

     脱壳文件:

               01.rmvbfix.exe

      

     笔记:

         1、使用ExeinfoPE或PEid确定是否加壳
简单脱壳教程笔记(2)---手脱UPX壳(1)_第1张图片
  

      2、脱壳,们这里使用四种方法来进行脱壳,无论使用哪种,我们都需要找到OEP位置,然后进行脱壳即可。

            

          方法1:单步跟踪(需要有耐心)

                      要点:将程序拖入到OD中,一步一步单步跟踪执行,原则向上跳转不能让其实现,向下跳转可以实现。

          操作:

          1)将程序加载如OD中,会弹出是否自动分析的对话框。当我们确定程序是被加壳的情况下,我们选择否,否则我们选择是。

         简单脱壳教程笔记(2)---手脱UPX壳(1)_第2张图片


        2) 找OEP  由于我们使用的是单步跟踪,我们可以按F8进行单步执行。

      简单脱壳教程笔记(2)---手脱UPX壳(1)_第3张图片


      3)当向下跳转可以实现,继续单步即可    

      


    向上跳转不能让其实现

    


   将代码运行到跳转的下一行:选中该行,右键--断点--运行到选中位置  或直接F4即可

    

   

    注意:当jmp下面是call的情况,我们要在call的下面下断点,如下图,我们就需要在papad的位置下断点
   简单脱壳教程笔记(2)---手脱UPX壳(1)_第4张图片


      4)  当我们发现有出栈popad的时候,并且紧跟着一个大的跳转的时候,那么要调到的位置一般就是OEP的位置

   


       5)我们进入到OED位置

   



     6)找到OEP后 我们就可以进行脱壳,我们使用LordPE进行脱壳

        打开LordPE,找到程序(在XP下能找到,win7找不到)

    

     然后右键修复镜像大小、选择完整转存

    简单脱壳教程笔记(2)---手脱UPX壳(1)_第5张图片

   

   7)使用ImportREConstructor 进行修复

       根据OD中的地址,计算出OEP, OEP=VA(0047738C)-加载基址(00400000)

       然后获取导入表,显示无效的,最后进行修复

     简单脱壳教程笔记(2)---手脱UPX壳(1)_第6张图片


      8、查看脱壳是否成功

     简单脱壳教程笔记(2)---手脱UPX壳(1)_第7张图片

    方法2:ESP定律法

    方法3:2次内存镜像法

    方法4:一步直达法

    我们另起一篇文章  简单脱壳教程笔记(3)---手脱UPX壳(2)

           

        

你可能感兴趣的:(简单脱壳教程笔记(2)---手脱UPX壳(1))