吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 5846|回复: 100

[原创逆向图文] 手脱upx壳过程展示

  [复制链接]
夜看星空 发表于 2019-8-31 16:36 | 显示全部楼层 |阅读模式

这篇文章是我在吾爱破解论坛发布的,原因是目前我们论坛对于这么简单的东东,好像没有交流的必要,因此有吾爱破解的水印,不存在推广的嫌疑。我的账号在吾爱破解销毁,这些内容被临时抢出来,之前没有备份。

    这个壳很经典,属于很简单的压缩,加密的软件保护壳。刚好我在吾爱破解的帖子上也看见有这个软件,尝试了一下感觉非常好,能够展现非常多的问题,我把我尝试的过程分享一下。
    还是依旧要啰嗦一下,脱壳软件是非常重要的一步,很多软件都藏有暗桩,格盘,蓝屏,死机都是家常便饭,脱壳可谓是风险极大的一步,刚刚学习不要先脱壳。
    首先,要确定在那儿运行软件,我是在win7系统的虚拟机上运行的,在真机系统上运行一定要做好防止格盘、死机。
    完成环境配置就要查壳,查壳这一步主要是查什么语言编写的,编写的语言才是软件核心,遇到强壳即便查了也查不到什么。
TOP01,top02

                               
登录/注册后可看大图


                               
登录/注册后可看大图

    我用了两款查壳软件,一个是比较经典的pe,还有一个功能很逆天有些软件加了壳还能知道是什么语言。
top03

                               
登录/注册后可看大图

    直接载入OD,我的od是论坛上现成的专门为真机系统配置的,感觉很不错。
top04

                               
登录/注册后可看大图

    先运行一下程序,看看除了壳以外还有没有其它的软件保护机制。
    我是比较喜欢载入od以后在运行的,这样降低风险,同时也便于调试,直接打开也没有什么看头。
top05

                               
登录/注册后可看大图

    我先去查了一下脱壳的方法,在脱壳这方面我只知道软件入口叫oep,其它的并不清楚。
    大致上就是这四种方法比较实用,其它的方法有局限,还有一个SFX的查找方法,用了半个小时还没有找对。
第一种"F8"法,这个方法最基础最原始,最有效的方法。
需要注意的就是在返回的跳转处需要重新更正,相对其它的方法就显得笨笨的。

第二种“ESP”寄存器方法,不懂汇编的就基本看不懂,我懂我知道。
这个方法涉及到一个硬件断点,硬件断点是cup工作的断点属于什么级别的断点我不晓得麻烦知道的大神略微指导一哈,这样一来的正确率高,而且还不会被加密打断。

第三种”二次内存断点”这个方法,win7系统上有点问题,我运行的时候出现了内存访问失败的情况……
xp系统和虚拟机可以照常使用。

第四种“堆栈逆向法”我最喜欢的方法,一步就可以到达oep,属于懒人的不二之选。但是,作为不太熟练的新人我还是选择上面的较为妥当。
这个方法饿~~~感觉没有什么需要注意的。要么能用,要么就不能用。

top06

                               
登录/注册后可看大图

开始寻找oep,我使用的是第二种方法。
单步“F8”,ESP寄存器许可使用esp法。

top07

                               
登录/注册后可看大图

完成硬件断点,准备去找oep,相当激动感觉玩捉迷藏一样。

top08

                               
登录/注册后可看大图

循环的指令需要跳过,不是循环的大跳转指令不能跳过,我试了一次跳过就把oep跳了》》》

top09

                               
登录/注册后可看大图

来到oep,软件的头。
接下来就比较重要了,我使用了其它几个壳和其它几个脱壳的软件,均是一样报错,实际内存和转存内存地址不匹配。
top10,top11

                               
登录/注册后可看大图


                               
登录/注册后可看大图


出现这个问题我很是懵b,软件没有问题,操作也没有问题,问题出在那儿了,对第一步环境配置。
只能在xp系统里脱壳。。。这个问题后期我找到了原因,是因为运行环境的不一样,软件对于运行环境没有什么问题,脱壳软件截取的内容地址,win7和xp的不一样。
top12

                               
登录/注册后可看大图

未逆向的软件和成品软件,私信我吧我入库了,找出来费事。也可以到吾爱破解论坛上去下载。

评分

参与人数 20HB +28 THX +7 收起 理由
蜜桃养乐多 + 1
sjtkxy + 1
八六 + 1
涡流忍者 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
w5151183 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
ldljlzw + 1
一蓑烟雨 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
小生搞不懂 + 1
我是好人 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
lies + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
拿着雪糕 + 1 + 1
消逝的过去 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
豆0o0豆 + 1
LinkStark + 1
531814517 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
vawa1900 + 1 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
Shark恒 + 10 + 1 [快捷评语]--你将受到所有人的崇拜!
四公子丶 + 2 + 1 [快捷评语]--你将受到所有人的崇拜!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
四公子丶 发表于 2019-8-31 17:08 | 显示全部楼层

活跃份子来顶贴了

点评

Shark恒”点评说:
欢迎活跃分子  详情 回复 发表于 2019-8-31 17:11
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2019-8-31 17:11 | 显示全部楼层


欢迎活跃分子
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
vawa1900 发表于 2019-9-3 14:12 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
李寻欢 发表于 2019-9-15 10:54 | 显示全部楼层

大佬 你的另外一个帖子好像被删除了,刚想找,找不到了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 夜看星空 发表于 2019-9-15 11:59 | 显示全部楼层

李寻欢 发表于 2019-9-15 10:54
大佬 你的另外一个帖子好像被删除了,刚想找,找不到了

吾爱破解我销号了,吾爱汇编的都在,个人博客在等等我在做了。。。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
吉穿春袋 发表于 2019-9-16 01:59 | 显示全部楼层

图是不是挂了呢?一直在转圈!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 夜看星空 发表于 2019-9-16 09:42 | 显示全部楼层

吉穿春袋 发表于 2019-9-16 01:59
图是不是挂了呢?一直在转圈!

挂是不会挂的,服务器后台都有数据,可能时间长了被恒大消缓存了过段时间我在搞搞。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
bashen 发表于 2019-9-23 14:56 | 显示全部楼层

我看圖片也是一直在转圈!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 夜看星空 发表于 2019-9-24 12:34 | 显示全部楼层

bashen 发表于 2019-9-23 14:56
我看圖片也是一直在转圈!

过段时间吧,现在忙。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表