首页
社区
课程
招聘
[原创]学校实验室病毒脱壳
发表于: 2018-10-22 17:30 9655

[原创]学校实验室病毒脱壳

2018-10-22 17:30
9655

第一次发帖,新手,有不足的望各位大佬指点

UPX0是压缩代码的存放区,UPX1是UPX壳的执行代码

然后F8一步步分析(过程有点长)

4.找OEP



经过分析这里就是UPX壳的最后一步,到了这里,这里会跳一大段然后执行程序


这里是OEP,这是一个定律(具体百度)

5.脱壳



改地址





[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (11)
雪    币: 3094
活跃值: (314)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
2
感觉楼主是跟着步骤操作的吧,其实能理解每一步的操作是干什么的,这样最好。比如“这里是OEP,这是一个定律(具体百度)” 这里楼主可以复述一遍的,能自己表达出来的知识才是自己的....我很久没搞pc脱壳了,但看图片,准确点的oep应该是401fe9地址里call 的地址才是吧,虽然在这dump也是可以的(不准确的话,也请其他大佬更正下2333)... 
2018-10-22 18:07
0
雪    币: 1795
活跃值: (63)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
萌新撸过, 有段时间没分析病毒了,加班偷懒过来看雪看看帖子
2018-10-22 19:36
0
雪    币: 420
活跃值: (79)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
kwanhua 感觉楼主是跟着步骤操作的吧,其实能理解每一步的操作是干什么的,这样最好。比如“这里是OEP,这是一个定律(具体百度)” 这里楼主可以复述一遍的,能自己表达出来的知识才是自己的....我很久没搞pc脱壳 ...
其实这个是我一年前手动脱的,最近实习在网盘无意间找到了以前的小笔记,就想跟大家分享一下,具体是什么我也忘得差不多了。。。。。
2018-10-24 11:58
0
雪    币: 420
活跃值: (79)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
myangel 萌新撸过, 有段时间没分析病毒了,加班偷懒过来看雪看看帖子[em_13]
我也是上班发的帖子,哈哈哈哈
2018-10-24 11:58
0
雪    币: 2166
活跃值: (3226)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
6
设置关注以资鼓励
2018-10-24 15:53
0
雪    币: 2265
活跃值: (2381)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
支持楼主,继续努力。
2018-10-25 09:00
0
雪    币: 2359
活跃值: (343)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
esp定律,能简单的就别复杂。还有就是分析不一定脱壳,如果换成别的强壳或者是变异的就凉凉。
2018-10-25 15:46
0
雪    币: 2095
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
可以可以,我之前照着教程都错了
2018-10-26 12:52
0
雪    币: 1047
活跃值: (15)
能力值: ( LV3,RANK:29 )
在线值:
发帖
回帖
粉丝
10
教程狠不错。不过讲一讲输入表重定位就好了。
2018-11-1 06:57
0
雪    币: 546
活跃值: (652)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
11
支持楼主
2019-8-8 18:20
0
雪    币: 3725
活跃值: (619)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
12
根据以前的经验, UPX的壳就直接往下拉, 看到 jnz下面一个jmp, 再后面没有代码的, 就在jmp上下个断点, 跳过去就是OEP.
asp的壳一般是jnz下面有两个 ret 的, 在ret上下个断点, 跳过去就是OEP.
这种壳没有对抗, 所以基本上特征也不会有啥变化, 跑行为的时候顺便脱下来看看关键字啥的.
2019-8-8 20:28
0
游客
登录 | 注册 方可回帖
返回
//