UPX脱壳逐一跟踪分析

最新推荐文章于 2025-07-18 09:09:37 发布
最新推荐文章于 2025-07-18 09:09:37 发布
阅读量941 收藏 7
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50536062/article/details/114457858
本文结合PE文件结构知识,详细解析了UPX脱壳的过程。通过OD跟踪命令,分析了“新年快乐.exe”的解压代码,揭示了UPX壳如何将压缩代码解压到第一个节区并执行。在分析过程中,指出了关键的内存访问断点、重定位表循环以及IAT表设置等步骤,最终找到程序的OEP。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

UPX脱壳逐一跟踪分析

写在前面

之前看到的UPX脱壳文章都只是教了方法,对UPX的原理少有提及。看了《逆核》的UPX脱壳一章后,俺尝试把UPX脱壳与PE文件结构的知识结合起来整理了一些(也可联系压缩器Paker的知识)。
分析样本来自BUUCTF:Reverse题目“新年快乐”(本文将寻找样本的OEP)

OD跟踪命令

可能会用到的几个跟踪命令:

命令 快捷键 作用
Animate Into Ctrl+F7 反复执行Step Into命令(画面显示)
Animate Over Ctrl+F8 反复执行Step Over命令(画面显示)
Trace Into Ctrl+F11 反复执行Step Into命令(画面不显示)
Trace Over Ctrl+F12 反复执行Step Over命令(画面不显示)
停止跟踪 F7

Animate:执行时画面会跟着光标移动一直显示;
Trace:会在事先设置好的跟踪条件处停下,并生成日志文件。
跟踪命令适合用在大型代码,一好处是容易发现短循环。
我分析时只是使用了F8/F7/F4。

先结合PE知识分析

一般情况下,分析压缩后的UPX壳,可以看到第一个节区的名称为UPX0,SizeOfRawData=0,而VirtualSize=1000h(大于0),第二个节区UPX1,它的PointerToRawData和第一个节区的相同。也就是说,第一个节区在文件中是不占用空间的,只有运行时才分配大小。
其实,第二个节区含有解压代码和将被解压的代码(压缩前的代码),在加载过程中,第二个节区的解压代码运行,将被解压代码解压到第一个节区。最后到达EP执行代码。

分析“新年快乐.exe”

  1. 打开:
    打开程序后

  2. 根据上文,下面会先执行解压代码,这个代码在UPX1节区,在此节区设置内存访问断点。
    Memory map

  3. F9几次,就能在UPX1看到经典pushad了。

最低0.47元/天 解锁文章

200万优质内容无限畅学
CrackMe032:UPX脱壳+keyfile+DarkDe+Process Monitor
可乐松子的博客
05-28 980
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.脱壳+基本分析脱壳DarkDe分析2.KeyFile破解KeyFile基础知识破解本程序3.注册界面破解step 1.DarkDe分析按钮事件step 2.OK按钮分析step3 .4个序列号事件step 3-1.Edit处理的框架step 3-2.关键函数分析step 3-3.验证4.注册
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
5.1 压缩壳原理(UPX, ASPack 算法分析
最新发布
勤奋的码农
07-18 570
本文深入分析UPX和ASPack两种典型压缩壳的原理与实现差异。UPX采用LZ77算法实现高效压缩(50%-70%体积缩减),通过多阶段压缩和分层加载设计保持程序完整性;而ASPack在压缩基础上集成了反调试、IAT加密等保护机制。文章详细阐述了两者的文件结构、内存解压流程及性能影响,并提供了手动/自动化脱壳的对抗策略。测试数据显示,UPX在启动时间和内存占用上表现更优,而ASPack则通过牺牲部分性能增强防护能力。最后指出未来压缩壳可能向AI赋能、硬件加速等方向发展,在效率与安全间寻求平衡。
UPX脱壳全程分析(转)
banhanjun1518的博客
07-05 510
【文章标题】: UPX脱壳全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
upx脱壳
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
01-16 1206
upx的oep一般是在popad后面最后一个跳转指令的目的地址。主要的难点在于导入导出表的修复,此处使用了x64dbg中的scylla插件。找到oep之后,需要将pe文件在内存中的数据DUMP出来,但是此时dump出来的文件需要修复导入导出表。工具:通过x64dbg来实现,主要是想利用scylla插件来修复PE文件。脱壳原理:esp平衡。
upx壳的一些简单脱壳,望大牛勿喷。
weixin_33961829的博客
07-24 815
下面是我的脱壳。手动脱壳1.ESP定律法查看通用寄存器ESP,数据窗口跟踪。F8单步步入,F4禁止向上跳转2.单步跟踪法F8单步跟踪,遇CALLF7进入。直到到达OEP,经过多次F8,F4终于到达OEP了,恒大的第三课的跳转好多,逢向上的跳转,用F4。3.脚本脱壳法这个不需多说了。4.软件脱壳法,此法完美脱壳,win7x64下测试通过,正常运行,并且区段无upx0,upx...
upx脱壳(最简单方法之一)
2301_80820096的博客
04-13 4712
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
upx脱壳工具
03-14
### 使用UPX脱壳工具的方法 UPX是一种常用的压缩和打包程序的工具,而对其进行脱壳通常是为了分析或调试目标可执行文件。以下是关于如何使用UPX脱壳工具以及一些常见方法的具体说明。 #### 工具准备 为了完成UPX...
35款最新自动脱壳工具合集
09-23
1. 静态脱壳工具:如PEiD,它可以识别出许多已知的加壳技术,包括UPX、MzStarter等,无需运行程序就能进行分析。 2. 动态脱壳工具:如CFF Explorer,它可以通过模拟执行来观察程序的行为,进而去除壳层。动态脱壳...
PEID无法检测壳的脱壳方法详细介绍
- 多级脱壳:在面对多层嵌套壳的情况下,需要对每一层壳逐一进行脱壳,直到到达原始程序。 #### 7. 脱壳的法律和道德问题 在进行脱壳操作之前,需要明确脱壳行为的法律和道德界限。加壳是软件作者对其软件进行的...
脱壳工具包
12-16
它提供了一个交互式的界面,可以逐指令地跟踪程序执行,查找和修改内存中的数据,以及分析程序的行为。汉化版则意味着它已经被翻译成中文,便于中国用户使用。在脱壳过程中,OllyDbg可以帮助识别和绕过保护机制,...
upx(脱壳工具)
10-29
upx(脱壳工具)
UPX脱壳工具.exe
01-15
可以用这个工具脱UPX加过壳的exe可执行程序....................................
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
PE文件的UPX脱壳算法的实现
06-23
PE是Portable Excutable的缩写,指“可移植可执行”文件,是32 位 Windows操作系统可执行文件的标准格式。在计算机安全领域中PE文件如果被修改或者被反编译,都会使计算机产生安全隐患或者使软件的核心技术被窃取,所以保护PE文件不被修改是一件很重要的工作,当前通常采用加壳的方法对PE文件进行保护,这其中UPX是具有代表性的压缩类外壳。 本文首先对PE文件格式进行了全面细致的研究,PE文件的头部结构对可执行文件进行了整体描述,是加壳脱壳工作的重要信息来源。接下来本文还分析了外壳的加载流程以及UPX的加壳流程,外壳的加载流程具有普遍规律,掌握外壳的加载流程是理解外壳的工作机制以及编写加壳脱壳程序的基础。最后针对UPX外壳采用动态脱壳设计方案,进行UPX动态脱壳算法的设计与实现,动态脱壳设计思路以外壳程序在内存中还原出原文件为突破口,将加壳文件载入内存使其自行脱壳,并抓取内存映像,完成原文件的构造。相比于静态设计方案,动态脱壳设计方案具有更强的通用性。
[脱壳]手脱UPX
輚至消亡
07-24 1646
0x00 简介 UPX壳是一种压缩器。经其加壳后的程序的PE结构如下: 其特点是加壳后除了资源的节,其他节区都不见了,转换成了UPX0和UPX1两个节区。并且UPX0节的磁盘文件大小变成了0。 实际上,UPX压缩器将这些节区压缩后放置于UPX1中,并且将压缩和解压代码也放到里面去。一旦该程序被加载运行,位于UPX1节的解压缩代码会释放原数据到UPX0中并且让PE正常运行。 0X01 硬...
逆向(2)-脱壳--upx壳(1
小心信科理化声
03-03 872
题材来自于52pj。
UPX单步脱壳
qq_49341576的博客
12-06 1638
使用OD脱UPX
UPX脱壳
Zbw_OIer的博客
11-28 1730
什么是加壳 加壳是一种程序的保护机制,它可以保护我们的程序不那么容易的被逆向出来。不能直接用IDA分析出来。 其原理为经过一段加壳程序得到一个新的程序,我们原来的程序就在新的程序中的一部分,生成的新程序中也会多一段代码,多的一部分就是解密代码。 加壳一般分为两类,一种是加密加壳,其目的就是为了防止逆向而存在的一种壳。另外一种就是压缩壳,将很大的,有很多重复数据的程序压缩成很小的程序,在运行的过程当中动态解压。其中UPX就是一种压缩壳。 UPX脱壳 加壳可执行文件 UPX sample.exe 脱壳执行文件
UPX脱壳工具:最新测试版本功能解析
标题与描述提到的知识点分析: 标题:“UPX脱壳工具 测试版本” 从标题可以明确,本文档涉及到的...以上就是对给定文件信息中所涉及知识点的详细分析,这些分析为理解UPX脱壳工具的用途和背景提供了必要的技术细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值