upx脱壳,
作者: 来源:秀米下载站 2023-09-18 08:12:11
upx脱壳,,求助:UPX脱壳问题,对于upx脱壳的相关知识,秀米下载站提供详细的介绍:用OD将UPX壳脱掉后PEID检测还是UPX,怎么回事
2,UPX脱壳问题
1 手动脱壳要修复重定位2 自动脱壳一般不会有什么问题 自动关机说明可能有自校验
3,最新的UPX壳怎么脱
不用这么麻烦...winhex 打开加密的UPX文件,查到UPX 的版本号.然后去网上找对应的UPX加密工具命令行 UPX -D 你的文件即可脱掉.最完美的脱壳!
4,求教各位大黑阔UPX手动脱壳的步骤
建议用esp定律esp脱壳基本步骤就是用od加载后单步走到pushfd的下一句然后hr esp寄存器的值 下完这个断点后F9运行再单步跟踪几步就到oep了
你好!upx是压缩壳的,可以用esp定律的,如果是变形壳的话,可以用单步跟踪的办法的我的回答你还满意吗~~
5,怎样脱UPX和北斗壳
呃,这样做太麻烦了 你直接下载PEID ,然后选择万能脱壳就搞定了
下个软件 过程(只用单步跟踪现查下壳吧UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo现在脱壳今天只用单步跟踪这个 键盘是F8我就用上面的了让大家看的清楚点吧脱壳的时候记住 只能让程序向前运行 不能让他往回运行在这个位置断点运行到所选位置这个就不用管了因为不是红色就是说名他这个跳转没有实现这个NOP是没有的意思所以端点要在下面段POPAD是出口点马上就能脱了这个是跨区段入口这个就是程序入口了现在脱壳先查壳Borland Delphi 4.0 - 5.0OK了现在看看能不能运行OK正常运行今天就给大家弄到这里)
6,如何使用upxshell 脱壳
1,命令行一定要准确.其实你可以安装一个DosHere的注册表文件让文件夹支持直接进入cmd.或者Win+r输入cmd然后输入路径进到需要操作的文件夹然后施工,这样不容易错. 2,你可以选择用UPX Shell这个外壳工具,很方便处理文件,在option->Advanced第二项打挑可以让程序文件支持右键UpX转换. 3,UPX可以选择文件加密的,加密后的不可以直接脱壳,这是最重的重点.UpxShell中同样option-advan....里面第一项就是,另外加密也分多种,每种也有设置不同,脱壳并不是好玩的,确切说不可能"手把手教会".你要学习PE格式以及汇编等一系列的非常熬人的东西,之后还要凭运气和天赋. 4,显示UPX加壳,未必只是一个壳,有时可以重叠加几次壳(其他加密工具),这还不包括程序本身对自身的检测(脱壳看似成功,但之后不能运行)
打开UPX Shell,点击Options,点击第三个选项卡,再选择 简体中文 就行了。然后到外面找到自己编写出来的EXE文件,将其拖入到软件的主界面。点击执行按钮。然后就会自动将UPX的壳脱壳了。
在技能栏内点击此技能就可以了。 与别人组队打副本时,九洲拉怪,会用到这个技能。再看看别人怎么说的。
7,如何实现upx的脱壳请详细说明步骤和软件
upx 关于脱壳的命令格式如下:upx -d 要脱壳的文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了
1,命令行一定要准确.其实你可以安装一个DosHere的注册表文件让文件夹支持直接进入cmd.或者Win+r输入cmd然后输入路径进到需要操作的文件夹然后施工,这样不容易错. 2,你可以选择用UPX Shell这个外壳工具,很方便处理文件,在option->Advanced第二项打挑可以让程序文件支持右键UpX转换. 3,UPX可以选择文件加密的,加密后的不可以直接脱壳,这是最重的重点.UpxShell中同样option-advan....里面第一项就是,另外加密也分多种,每种也有设置不同,脱壳并不是好玩的,确切说不可能"手把手教会".你要学习PE格式以及汇编等一系列的非常熬人的东西,之后还要凭运气和天赋. 4,显示UPX加壳,未必只是一个壳,有时可以重叠加几次壳(其他加密工具),这还不包括程序本身对自身的检测(脱壳看似成功,但之后不能运行) 路迢迢........
一般没有加上花指令或者加密。。。upx的壳是很容易破解的。。ttp://www.52pojie.cn/thread-16381-1-2.html
8,怎么脱UPX壳
1.这个是加了UPX壳的入口时各个寄存器的值! EAX 00000000 ECX 0012FFB0 EDX 7FFE0304 EBX 7FFDF000 ESP 0012FFC4 EBP 0012FFF0 ESI 77F51778 ntdll.77F51778 EDI 77F517E6 ntdll.77F517E6 EIP 0040EC90 note-upx.<ModuleEntryPoint> C 0 ES 0023 32bit 0(FFFFFFFF) P 1 CS 001B 32bit 0(FFFFFFFF) A 0 SS 0023 32bit 0(FFFFFFFF) Z 0 DS 0023 32bit 0(FFFFFFFF) S 1 FS 0038 32bit 7FFDE000(FFF) T 0 GS 0000 NULL D 0 O 0 LastErr ERROR_MOD_NOT_FOUND (0000007E) 2.这个是UPX壳JMP到OEP后的寄存器的值! EAX 00000000 ECX 0012FFB0 EDX 7FFE0304 EBX 7FFDF000 ESP 0012FFC4 EBP 0012FFF0 ESI 77F51778 ntdll.77F51778 EDI 77F517E6 ntdll.77F517E6 EIP 004010CC note-upx.004010CC C 0 ES 0023 32bit 0(FFFFFFFF) P 1 CS 001B 32bit 0(FFFFFFFF) A 0 SS 0023 32bit 0(FFFFFFFF) Z 1 DS 0023 32bit 0(FFFFFFFF) S 0 FS 0038 32bit 7FFDE000(FFF) T 0 GS 0000 NULL D 0 O 0 LastErr ERROR_MOD_NOT_FOUND (0000007E) 看看UPX的壳的第一行: 0040EC90 n> 60 pushad //****注意这里***** 0040EC91 BE 15B04000 mov esi,note-upx.0040B015 PUSHAD就是把所有寄存器压栈!我们在到壳的最后看看: 0040EE0F 61 popad //****注意这里***** 0040EE10 - E9 B722FFFF jmp note-upx.004010CC //JMP到OEP POP就是将所有寄存器出栈! 而当我们PUSHAD的时候,ESP将寄存器压入了0012FFC0--0012FFA4的堆栈中!如下: 0012FFA4 77F517E6 返回到 ntdll.77F517E6 来自 ntdll.77F78C4E //EDI 0012FFA8 77F51778 返回到 ntdll.77F51778 来自 ntdll.77F517B5 //ESI 0012FFAC 0012FFF0 //EBP 0012FFB0 0012FFC4 //ESP 0012FFB4 7FFDF000 //EBX 0012FFB8 7FFE0304 //EDX 0012FFBC 0012FFB0 //ECX 0012FFC0 00000000 //EAX 所以这个时候,在教程上面就告诉我们对ESP的0012FFA4下硬件访问断点。也就是说当程序要访问这些堆栈,从而恢复原来寄存器的值,准备跳向苦苦寻觅的OEP的时候,OD帮助我们中断下来。 于是我们停在0040EE10这一行! 总结:我们可以把壳假设为一个子程序,当壳把代码解压前和解压后,他必须要做的是遵循堆栈平衡的原理,让ESP执行到OEP的时候,使ESP=0012FFC4。 更加详细请参阅http://zhidao.baidu.com/question/33426181.html?si=1的esp定律
,小菜求助UPX壳脱壳不成功,脱完壳程序无法打开,秀米下载站提供的知识大家可以借鉴参考一下,希望进一步了解求高手脱壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub ->...。
- 上一篇: 100种蠢蠢的死法攻略,
- 下一篇: 没有了