对upx壳的一次较深入探究

最新推荐文章于 2025-06-09 12:34:32 发布
原创 最新推荐文章于 2025-06-09 12:34:32 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了对UPX壳的深入研究,从直接脱壳方法到手动处理壳的步骤,包括了解proc文件和syscall。通过动调分析,揭示了main函数的执行流程,尤其是loader和execve系统调用在脱壳过程中的关键作用。此外,文章还讨论了如何使用die查壳,以及UPX标准加载器的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对upx壳的一次较深入探究

最开始的起因是一个攻防世界的题目,这个题目使用的upx加壳,题目为easyre-150。

攻防世界题号会变化也就不给链接了,进阶区前三页内,还是比较好找。

如果直接upx脱壳的话,题目基本没有啥难度,但是在题目做完以后我去翻看这个原本加壳后的文件发现很有趣。

于是便去简单的了解了一下。

文章目录

easy-re-154

直接脱壳的方法

首先直接看到文件die查壳查到是upx_easyre150的壳,

然后直接脱壳,看到文件:

在动调的时候我们可以轻松改变,走向got key的位置,

然后会进入函数lol, 

大概十个这样子,注意判定跳转前的两句:

.text:080486B0                 mov     [ebp+var_C], 0
.text:080486B7                 cmp     [ebp+var_C], 1
.text:080486BB                 jnz     short loc_80486D3

这个其实永远不会进入到另一侧的语句运行,我们动调的时候改动下, 就可以看到flag,

当然,很坑的格式:要套上RCTF{},

就是一个很简单的题目,

下面我们去考虑下手动脱壳的方法?

知识点:

在此之前,我们先写一下这一部分出现的知识点:

proc文件

linux 下的proc文件体系实际上并不是文件,而是我们在运行中的进程,每个进程都会产生一个由其运行的pid为文件名的文件, 其中,/proc/[pid]/目录下的文件:

  • cwd :

    这是一个符号链接,指向这个进程的运行目录。

  • exe :

    这也是个软链接, 指向这个进程对应的可执行文件。

  • fd :

    这是一个目录,里面包含进程打开的文件的文件描述符,并且这些描述符都是软链接,指向实际文件。

  • maps:

    这个文件包含当前进程在虚拟内存中的空间分布已经对应的地址,访问权限。

syscall

主要写一下里面出现的系统调用作用和调用号

32位 linux 程序系统调用 int 80

  • sys_open: eax=5, 打开文件, 并返回一个该文件的文件描述符。
  • sys_lseek: eax=19, 返回文件读写指针距离文件开头的字节大小。
  • sys_unlink: eax=10, 删除文件链接的意思, 大体就是删除我们open的文件吧,
  • sys_ftruncate:eax=93, 将文件截断,
  • sys_execve:eax=11,加载和启动新的程序
  • sys_munmap: eax=91, 映射内存

动调,手动处理壳:

那么就开始处理:

进入ida看到其实函数极少, 动调以后大致可以了解他们的内容, 这里简单进行了一下命名:

start函数:


这里就是函数入口处了,看起来没啥好看的,动调以后也会发现其实就没啥,进入main函数:

main:

main函数比较大,主要分成几个部分:

open ‘/proc/[pid]/exe’

首先是获取pid, 然后组成一个"/proc/[pid]/exe"的一个字符串,打开这个文件,

我们上述提到过,这个地址对应是一个链接,指向这个程序自身的绝对地址,

简单点说就是打开自己这个程序本身。

同样我们也可以在 /proc/[pid]/fd/中看到

open “AAAAAAAACDMVJO1A4NH”

后面的位置主要在两个循环中,处理了一个字符串:

将其处理为:“AAAAAAAACDMVJO1A4NH”

然后打开这个名字的文件,我们可以在/proc/[pid]/fd/中看到:

最低0.47元/天 解锁文章

200万优质内容无限畅学
UPX源码分析——加
wodafa的博客
02-23 7026
本文属于i春秋原创文章现金奖励计划,未经许可严禁转载。 0x00 前言 UPX作为一个跨平台的著名开源压缩,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,
Upx
大学二年级
09-28 969
UPX 是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。UPX 支持许多不同的可执行文件格式 :包含 Windows 95/98/ME/NT/2000/XP/CE 程序
UPX全程分析(转)
banhanjun1518的博客
07-05 503
【文章标题】: UPX全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
UPXUnPacKer.V0.3:UPX快速解包工具
最新发布
weixin_36364707的博客
06-09 1554
UPX(Ultimate Packer for eXecutables)是一款广泛使用的可执行文件压缩工具,它能够减小Windows可执行文件(.exe)以及可链接库文件(.dll)的体积。通过压缩,UPX能够有效节省磁盘空间并加快软件的分发速度。UPX通过重新编码和优化程序来实现压缩,而且它具有可逆性,即压缩后的程序可以通过UPX解压工具完全还原。UPX支持多种压缩算法,并提供了高度的压缩比和良好的压缩速度。
UPX分析
iextract的博客
07-08 2215
面试的时候问到一些问题,之前一直没接触过,这几天在学校安排的培训空闲时间,用upx压缩一个exe来分析行为 UPX 3.94w+x64dbg 明日开始整理分析过程并上传 工具:Source Insight目录文件夹结构如下 \UPX-3.08-SRC ├─doc └─src ├─filter └─stub ├─scripts ├─
UPX
2401_88035198的博客
11-01 399
UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。通过 UPX 压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。
UPX Shell 最好的UPX程序-易语言
06-13
UPX本身是一个开源的可执行文件打包器,它能够对PE(Windows可执行文件)、ELF(Linux可执行文件)和DLL等格式的文件进行压缩,减少程序的磁盘占用空间,同时在一定程度上提高程序的运行速度。UPX Shell则是将UPX的...
UPX加解工具,UPX,UPX
08-13
UPX(Ultimate Packer for eXecutables)是一种著名的开源、免费的可执行文件压缩工具,广泛应用于Windows平台的程序加UPX能够显著减小可执行文件的大小,通过压缩代码和数据,提高程序的加载速度,同时提供了...
手动改造UPX,增加IAT保护
热门推荐
vbnetcx的博客
10-25 3万+
Microsoft的IAT是整整齐齐,用一个DWORD类型的0,隔开每个对应每个DLL的IAT,而Borland就坑爹了,它的IAT是散乱的,也就是说,每个DLL对应的IAT表可能在内存分布中是不连续的。所以,脱的时候,修复IAT,这Borland就是急死人了,最好就是找到外填充IAT的地方,来Patch它得到一份完整的IAT表。思路很简单,找到填充IAT的地方,添加两个区块,一个放解密IAT的代码(stub),一个放我们加密IAT的代码。从跳到我们的区块去执行加密,然后,嘿嘿。
UPXv1.9源代码
02-28
UPXv1.9源代码
upx 源码分析
heartcleaner的专栏
06-16 2417
upx文件组成,upx源码分析
Upxfix UPX变形处理工具
07-07
UPX可以用其自身命令脱: upx -d 文件名 但对于处理过的UPX,此命令就不好用了。这时,可以用upxfix工具来修复文件,再用unxfix自带的upx来脱。 来自看雪论坛
UPX较常用的压缩(共70多个版本)
08-30
UPX is a portable, extendable, high-performance executable packer for several different executable formats. It achieves an excellent compression ratio and offers **very** fast decompression. Your executables suffer no memory overhead or other drawbacks for most of the formats supported, because of in-place decompression.
著名的upx程序的源代码
05-29
著名的upx程序的源代码
UPX工具
04-22
专业去UPX机 对你们有用的哦
UPX工具源码
10-03
这是UPX图形化脱界面,大多脱源代码都是UPX开源项目的,所以免积分下载
3.20学习——UPX
2401_88422349的博客
03-20 977
UPX是一种压缩,用来压缩运行程序大小,同时的存在也是防止反汇编软件找到入口点,所以脱就显得很重要。例如:这里有一个带upx的exe如果直接用反汇编工具就会发现函数很少,而且伪C代码也没信息,这就是的作用,通过修改程序的入口点来实现阻止反汇编工具的使用。
变形UPX
07-13 423
背景 一次应急遇到了某挖矿木马,提取出矿机进行分析时发现加了,为UPX变形,遂有了此砸过程,比较简单主要做个记录 砸 直接进行UPX是没法脱掉的,打开编辑器看下是对魔数进行了修改,如下为修改后的: 进行修复,将2E 62 73 73修改为55 50 58 21 接着使用upx -d 直接砸即可 比较菜所以喜欢记录一些学习过程...
软件安全-UPX
写代码的小阿帆的博客
05-03 3313
的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 其原理是将可执行程序按照一定算法进行压缩,达到程序源代码的加密效果,执行时在先脱内存中解压缩,还原,再执行原程序部分。从而达到防修改与防反编译的效果,而因为源代码在磁盘中以压缩形式存储,虽然脱操作加重了CPU的负担,但减少了磁盘的读写,所以在大多数情况下还能提高程序运行速度;这种技术也常被应用到病毒免杀中,给病毒加后,杀毒软件往往很难识别。 也能提供一些保护功能,比如时间限制,使用次数和注册等。 UPX UPX (the Ultimat
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值