[原创]linux 下 upx 脱壳笔记-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]linux 下 upx 脱壳笔记

发表于: 2008-12-20 13:57 20641

[原创]linux 下 upx 脱壳笔记

北极狐狸

2008-12-20 13:57

20641

linux很少有需要crack的软件，所以最近总是自娱自乐。自己写的软件自己破着玩但是由于都是知道自己的手段，没有什么意思。真的希望有高手们写些crackme for linux 。
最近看了看windows的脱壳大致的理解了脱壳的原理，之前没有怎么接触脱壳，通常只是选择没有壳的软件看看。在linux下的壳没有找到几个。只找到了一个upx的壳，在windows下是个弱壳。实际上在linux下面也是弱壳，完全可以使用"upx -d"的命令解决问题。但我总是喜欢自己手动的。呵呵....纯属于自娱自乐。
ok,开始我们的linux的upx的脱壳之旅.........
我在选择工具的时候花了很多时间，忽然发现GDB在upx面前是那么的苍白无力...也终于知道为什么有人说GDB不适合做逆向了...虽然软件在调试器里可以正常于运行，正常下断。但是根本无法查看反汇编的代码.......。
无奈无奈....使用传说中最好的工具 IDA 为此我特地简单的学习了一下IDC脚本的使用方法...
没有什么资料可以参考，是一件很不愉快的事情，因为不知道能不能成功。不管了，一步一步来吧...
我用“upx －d“ 脱出了原来的文件，发现文件是全的，没有任何部分丢失，所以我相信这些文件会出现在进程空间的某个时间的某个角落，这个很大的坚定了我手动脱壳的信心（但是实际上到这篇文章的结尾我也没有能够在找到完整的程序文件，但我相信理论上内存空间中应该会出现完整的文件的...）。

我的加壳软件是我上次文章中用到做外挂的mines（扫雷游戏）。先找到了upx-3.03-i386_linux 软件附件中我会给出的免的度这篇文章的人去寻找了。
对我们目标软件加壳，命令如下，的确是个好用的压缩壳软件，直接有54％的压缩律。

[jun@beijihuCom dumpupx]$ ./upx mines
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2008
UPX 3.03        Markus Oberhumer, Laszlo Molnar & John Reiser   Apr 27th 2008

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
     13960 ->      7556   54.13%  linux/elf386   mines                         

Packed 1 file.
[jun@beijihuCom dumpupx]$

[jun@beijihuCom dumpupx]$ readelf -e ./mines
ELF Header:
  Magic:   7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 
  Class:                             ELF32
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - Linux
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Intel 80386
  Version:                           0x1
  Entry point address:               0xc02598
  Start of program headers:          52 (bytes into file)
  Start of section headers:          0 (bytes into file)
  Flags:                             0x0
  Size of this header:               52 (bytes)
  Size of program headers:           32 (bytes)
  Number of program headers:         2
  Size of section headers:           40 (bytes)
  Number of section headers:         0
  Section header string table index: 0

There are no sections in this file.

Program Headers:
  Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
  LOAD           0x000000 0x00c01000 0x00c01000 0x01d60 0x01d60 R E 0x1000
  LOAD           0x0002fc 0x0804b2fc 0x0804b2fc 0x00000 0x00000 RW  0x1000

(gdb) b *0xc02598
Breakpoint 1 at 0xc02598
(gdb) r
Starting program: /home/jun/Crack/dumpupx/mines 
warning: shared library handler failed to enable breakpoint
(no debugging symbols found)

Breakpoint 1, 0x00c02598 in ?? ()
(gdb) disassemble
No function contains program counter for selected frame.
(gdb)

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （12.60kb，559次下载）
2.jpg （6.47kb，554次下载）
3.jpg （15.31kb，556次下载）
4.jpg （8.56kb，554次下载）
5.jpg （6.58kb，554次下载）
6.jpg （5.70kb，554次下载）
dumpupx.zip （319.48kb，181次下载）

收藏・16

免费・8

支持

最新回复 (16)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼图片上焦点不清楚，大家联系截图的上下文看看。有条件的可以调试一下就可以看清楚图片的内容..截图处理的不是很好.... 见谅 2008-12-20 14:01 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 3 楼 linux下的东西很吸引人啊！！！ 2008-12-20 17:39 0
orchidor 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	orchidor 4 楼想用GDB反汇编的，找不到程序入口，发现真的很难 2008-12-20 17:52 0
greatbob 雪币： 155 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 184 粉丝 0 关注私信	greatbob 5 楼学习了！ idal 我一直没安装成功，郁闷哦。。是不是需要什么图形开发包。现在只好集中精力研究GDB和DDD了，希望找到好的分析方法 2008-12-20 18:35 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼如网上所说，gdb确实不适合做逆向...普通代源的软件用它调试是很好。关于IDA linux 安装，他的图形功能我于一直没有用上，但是其他功能是不需要X－windows 支持的。控制台就可以运行了..... 2008-12-20 19:53 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 7 楼就是缺少像OD这样的动态调试工具以前倒是找到一个代码太老了没编译通过 2008-12-20 20:06 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 8 楼有嘛？放出来啊....呵呵... 2008-12-21 13:59 0
aredfox 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	aredfox 9 楼受益匪浅！十分感谢，用了一下，这个脚本好像对于变种upx也好用。 2009-6-19 16:31 0
hackisle 雪币： 116 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 77 粉丝 0 关注私信	hackisle 10 楼不是gdb不能反，而是方法不对用x/100i 0x00c02598 2009-8-13 22:48 0
blueeagle 雪币： 433 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	blueeagle 11 楼受益了，最近想要解决一个ELF的程序。正在筹划中。 2010-11-9 20:40 0
xie风腾雪币： 12332 活跃值： (5103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 12 楼请问Linux里难到就只有一个UPX壳吗 2013-4-1 15:43 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 13 楼不知道，你可以找找。 2013-4-26 15:32 0
xie风腾雪币： 12332 活跃值： (5103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 14 楼不是找不到,是没有想有偿请人写个 2013-4-30 11:43 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 15 楼 fseek(dumpfile,0x30,0); fputc(0x00,dumpfile); fputc(0x00,dumpfile); fputc(0x00,dumpfile); fputc(0x00,dumpfile); 为什么这几个字节要写0？ 2014-2-24 20:54 0
南阳之星雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	南阳之星 16 楼哈哈学习了。 2018-7-19 04:59 0
考拉雪币： 1250 活跃值： (3550) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 153 粉丝 9 关注私信	考拉 17 楼 mark 2019-5-30 15:58 0
s3139701 雪币： 2381 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	s3139701 18 楼能问下楼主的linux版本吗我用centos编译 dump.idc 老是报错 2019-10-20 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

北极狐狸

发帖

1342

回帖

300

RANK

关注

私信

他的文章

希望有图片达人搞一个开机画面 4826
[原创]JAVA 利用JNI加密 17449

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼图片上焦点不清楚，大家联系截图的上下文看看。有条件的可以调试一下就可以看清楚图片的内容..截图处理的不是很好.... 见谅 2008-12-20 14:01 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 3 楼 linux下的东西很吸引人啊！！！ 2008-12-20 17:39 0
orchidor 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	orchidor 4 楼想用GDB反汇编的，找不到程序入口，发现真的很难 2008-12-20 17:52 0
greatbob 雪币： 155 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 184 粉丝 0 关注私信	greatbob 5 楼学习了！ idal 我一直没安装成功，郁闷哦。。是不是需要什么图形开发包。现在只好集中精力研究GDB和DDD了，希望找到好的分析方法 2008-12-20 18:35 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼如网上所说，gdb确实不适合做逆向...普通代源的软件用它调试是很好。关于IDA linux 安装，他的图形功能我于一直没有用上，但是其他功能是不需要X－windows 支持的。控制台就可以运行了..... 2008-12-20 19:53 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 7 楼就是缺少像OD这样的动态调试工具以前倒是找到一个代码太老了没编译通过 2008-12-20 20:06 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 8 楼有嘛？放出来啊....呵呵... 2008-12-21 13:59 0
aredfox 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	aredfox 9 楼受益匪浅！十分感谢，用了一下，这个脚本好像对于变种upx也好用。 2009-6-19 16:31 0
hackisle 雪币： 116 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 77 粉丝 0 关注私信	hackisle 10 楼不是gdb不能反，而是方法不对用x/100i 0x00c02598 2009-8-13 22:48 0
blueeagle 雪币： 433 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	blueeagle 11 楼受益了，最近想要解决一个ELF的程序。正在筹划中。 2010-11-9 20:40 0
xie风腾雪币： 12332 活跃值： (5103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 12 楼请问Linux里难到就只有一个UPX壳吗 2013-4-1 15:43 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 13 楼不知道，你可以找找。 2013-4-26 15:32 0
xie风腾雪币： 12332 活跃值： (5103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 14 楼不是找不到,是没有想有偿请人写个 2013-4-30 11:43 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 15 楼 fseek(dumpfile,0x30,0); fputc(0x00,dumpfile); fputc(0x00,dumpfile); fputc(0x00,dumpfile); fputc(0x00,dumpfile); 为什么这几个字节要写0？ 2014-2-24 20:54 0
南阳之星雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	南阳之星 16 楼哈哈学习了。 2018-7-19 04:59 0
考拉雪币： 1250 活跃值： (3550) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 153 粉丝 9 关注私信	考拉 17 楼 mark 2019-5-30 15:58 0
s3139701 雪币： 2381 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	s3139701 18 楼能问下楼主的linux版本吗我用centos编译 dump.idc 老是报错 2019-10-20 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复