最近一直在学习安全方面的知识,但是当真正开始看的时候发现整个头都大了,自己不了解的东西太多了,今天花了整整一天的时间去脱一个upx的压缩壳,记录下自己今天的收获,希望看到的人少走弯路。
首先推荐的两个论坛是看雪和52pojie这两个论坛,下面是需要用到的软件
1.脱壳第一点就是查壳,两个不错的软件推荐第一个是peid,不过看论坛上的人说这个查复杂壳的准确度不高,还有一个是exeinfope.exe,这个软件准确度和更新度比另一个要高不少,对于初学者,第一个也够用了。
2.查到壳的方式,下一步就是用软件脱壳,OllyDBG.EXE脱壳必备的软件,用这个软件去找OEP,然后记录oep位置。
3.LordPe用于完整转存程序。
4.importrec这个软件很可爱,图标像是一个吸毒的辛普森,用于获取导入表,修正转储。就可以完成脱壳。还有一个不错的软件是Scylla_x64.exe。
下面记录下我今天遇到的问题。
(1)使用是OD自带的ollydump脱壳,这个脱壳有意思了,无论找什么oep,无论怎么脱都无法运行,后来查找原因这个ollydump已经很久不更新了,一般不推荐使用它脱壳。
(2)lordpe的转存上,如果你无法查到你的程序,应该使用管理员身份运行,就可以查到了,但是我的win10系统可能是不支持,管理员身份运行后,还是无法找到,后来加到虚拟机的win7系统,可以正常使用。因此可能是兼容性不大好。
(3)这个运行的时候和lordpe一样,如果找不到程序试一试用管理员身份运行,这里有oep是可以使用ollydump脱壳中的修正为里的参数。也就是图中的7738c
(4)win10系统的问题就是不兼容,论坛上有人说使用Scylla_x64.exe对win10的兼容性更好,但是测试一天也没在win10上脱壳成功,win7上脱壳倒是很快。
最后再记录一个小方法,OD的tools,setup paths,将你想要添加的.exe拖进左上角的方框中,然后双击它,它就会移到右边的方框,点击save settings,下次再使用的时候就可以再tools工具栏里边直接打开了