手动脱壳与修复IAT：从UPX到Import REConstructor

需积分: 0 172 浏览量更新于2024-06-30 收藏 720KB PDF 举报

身份认证购VIP最低享 7 折!

30元优惠券

"本章节主要讲解了如何手动解除UPX壳并修复IAT，以便程序能够正常运行。使用的工具包括OllyDbg (OD)、Import REConstructor (IRC) 和 PE-TOOLS。" 在计算机软件逆向工程中，有时我们需要处理加壳的可执行文件，以进行分析或调试。UPX是一种常见的文件压缩壳，它用于减小程序的体积。当尝试运行被UPX壳保护的程序时，可能会遇到“无效的Win32程序”错误，这是因为壳阻止了程序的正常启动，我们需要进行脱壳和修复IAT（导入地址表）才能使程序运行。 IAT是每个Windows可执行文件的重要组成部分，它存储了程序需要调用的外部函数的地址。当程序加载时，操作系统负责填充这些地址，使得程序能够正确调用DLL中的函数。然而，某些壳可能会篡改IAT，导致填充失败。在本章节中，我们首先使用OllyDbg加载被UPX壳保护的程序，并利用ESP定律定位到OEP（原始入口点）。通过设置硬件访问断点，我们可以找到OEP，这是程序解密后的起点。一旦到达OEP，程序的原代码段应该已经解密，此时可以进行dump操作，即提取出未加壳的程序代码。在OD中，可以选择插件如OllyDump进行dump，但这里使用了PE-TOOLS工具来实现相同目的。定位到目标进程，然后选择DumpFull选项，即可导出一个包含原始程序代码的dumped.exe文件。然而，dumped.exe由于IAT未修复，所以尝试运行时会出现“无效的Win32程序”错误。这时，我们需要使用Import REConstructor (IRC) 这样的工具来手动修复IAT。IRC允许用户分析和修改IAT，使其恢复到可执行状态。修复完成后，修复过的程序就能正常运行，避免出现错误提示。手动脱壳和修复IAT是逆向工程师必备的技能，特别是在面对那些能检测并阻止常规修复工具运行的复杂壳时。这一过程涉及对Windows执行流程、内存管理和动态链接库的理解，是提升逆向分析能力的关键步骤。

资源详情

资源推荐

运行 Import REConstructor,定位到 CRACKME UPX 所在的进程。

这里很多初学者可能会有疑问-如何定位 IAT 的起始位置和结束位置呢?我们知道当前该 CRACKME UPX 进程停在了 OEP 处,此

时壳已经将导入表破坏了,我们知道 IID 项的第四个字段为动态库名称字符串的指针,第五个字段为其对应 IAT 项第一个元素的地

址,这些已经被壳破坏了,我们需要通过其他方式来定位。

我们知道 API 函数的调用通常是通过间接跳转或者间接 CALL 来实现的。

即

JMP [XXXXXXX] or CALL [XXXXXX]

上一章我们已经介绍过了,这样是直接调用 IAT 中保存的 API 函数地址。我们来看看 CRACKME UPX。

这里我们看到第二行的 CALL指令,OD 提示调用的是 Kernel32.dll 中的 GetModuleHandleA,是个间接跳转,我们选中这一行,单击鼠

标右键选择-Follow。

剩余16页未读，继续阅读

shkpwbdkak

粉丝: 35
资源: 299

手动脱壳与修复IAT：从UPX到Import REConstructor

软件的脱壳+IAT修复+TLS修复

逆向软件后，手把手教你如何修复IAT表

SE脱壳相关.rar

pyinstaller: error: ambiguous option: --upx could match --upx-exclude, --upx-dir

-bash: upx: command not found

ubuntu安装UPX软件

Linux系统怎么安装 UPX 工具

uni-app upx和px区别

pyinstaller 在spec中配置启用upx

pyinstaller upx_exclude

UPX

upx-win64怎么使用

pyinstaller 报错UPX is available.

python upx

<template> <view class="content">

原神 ！启动！

pip install upx可以吗

upxfix upx

最新资源

原神！启动！