@date: 2016/11/29 @author: dlive 0x00 前言 周六周日两天在打HCTF2016线上赛,没时间看书,打完比赛接着看~~ 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 notepad_upx.exe的…

UPX和WinUpack压缩壳的使用和脱法 - 脱壳篇06 让编程改变世界 Change the world by program 今天小甲鱼给大家介绍两款压缩壳:UPX和WinUpack. UPX是时下最流行的压缩壳之一,因为它的压缩效率和稳定性都是比较不错的,另外一点呢他是开源的,小甲鱼在这节课的源代码下载处,提供了UPX的源代码给大家研究一下,它是用C++写成的. ...... 此处省略很多字 ...... UPX压缩壳官方原版下载地址:http://bbs.fishc.com/threa…

UPX (the Ultimate Packer for eXecutables)是一款先进的可运行程序文件压缩器.压缩过的可运行文件体积缩小50%-70% ,这样降低了磁盘占用空间.网络上传下载的时间和其他分布以及存储费用. 通过 UPX 压缩过的程序和程序库全然没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果. UPX 支持很多不同的可运行文件格式 包括 Windows 95/98/ME/NT/2000/XP/CE 程序和动态链接库.DOS 程序. L…

脱壳第三讲,UPX压缩壳,以及补充壳知识 一丶什么是压缩壳.以及壳的原理 在理解什么是压缩壳的时候,我们先了解一下什么是壳 1.什么是壳 壳可以简单理解为就是在自己的PE文件中包含了代码.而有不影响我们的PE文件的执行. 2.什么是压缩壳 压缩壳指的是让我们的PE文件变小. 3.压缩壳原理 首先可以看到,我们的PE文件 一个PE头,两个节数据,其中节和节之间还有对齐值.而上图是我们的一个正常壳映射到内存中的示意图. 4.压缩壳的思路 从上图可以看出, 我们的PE文件,压缩一下变成了一个新的PE文…

脱upx壳--初试--单步追踪 这里的练习题目是reversing.kr 的Easy Crack 我自己用upx加壳工具给它加了个壳,由于原文件逻辑简单,所以用它来练练手 之后用到的工具是IDA和Ollydbg 0x00 在正式调试之前需要知道的一些操作 1.单步追踪法向下调试一般用的是F8(单步步过) 2.遇到红色的向上箭头说明运行到此处之后会向上跳转,对于单步跟踪法来说是不能让它发生的,所以点击下一行,F4运行到该处. 3.遇到灰色箭头:灰色说明它没有起作用,直接F8就行,并不会向上跳转.…

昨天,UPX发布了3.93版本. UPX(the Ultimate Packer for eXecutables)是一个非常全面的可执行文件压缩软件,支持dos/exe.dos/com.dos/sys.djgpp2/coff. watcom/le.win32/pe.rtm32/pe.tmt/adam.atari/tos.linux/i386等几乎所有平台上的可执行文件, 具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较. 1.准备源码包 直接去github下载zip包或者直接克隆一下.…

[文章标题]: UPX脱壳全程分析 [保护方式]: 本地验证 [使用工具]: OllyDBG [作者声明]: 只是感兴趣,没有其他目的.失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0         > 60                 pushad                                           …

示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加壳的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx壳: 压缩之后查壳: 脱upx壳 od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指令,即call指令),然后按f4,可直接跳到此处:若下一句汇编指令是call指令,则选call后边的非call指令,…

网上有篇 Android SO(动态链接库)UPX加固指南,详细介绍了如何使用UPX给Android SO加壳,尝试做了一下结果ok,这里只记录遇到的几个小问题. 1.40k以下so不能加壳 kiiim@ubuntu:~/src$ upx.out a.out Ultimate Packer for eXecutables Copyright (C) 1996 - 2011 UPX 3.08 Markus Oberhumer, Laszlo Molnar & John Reiser Dec 12t…

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z 本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng…

0x00 前言 UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中.虽然针对UPX及其变种的使用和脱壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析.作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,为感兴趣的研究者和使用者做出一点微不足道的贡献. 0x01 编译一个debug版本的UPX UPX for Linux的源码位于其git仓库地址https://gi…

昨天,UPX发布了3.93版本. UPX(the Ultimate Packer for eXecutables)是一个非常全面的可执行文件压缩软件,支持dos/exe.dos/com.dos/sys.djgpp2/coff. watcom/le.win32/pe.rtm32/pe.tmt/adam.atari/tos.linux/i386等几乎所有平台上的可执行文件, 具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较. 1.准备源码包 直接去github下载zip包或者直接克隆一下.…

我们先看一下这个官方文档 http://pythonhosted.org/PyInstaller/ 其实常用的也就是两句 pyinstall ***.py pyinstall -F ***.py 一:模块的安装 本来是想把pyinstall装在python基础环境中.但是发现这个打包的时候,需要读取python环境中的包,所以还是装在每个项目的虚拟环境中吧. http://www.cnblogs.com/jackadam/p/8067327.html 参考这篇文章,直接装pyinstaller …

作者:Fly2015 Windows平台的加壳软件还是比較多的,因此有非常多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳.要对软件进行脱壳.首先第一步就是 查壳.然后才是 脱壳. 推荐比較好的查壳软件: PE Detective .Exeinfo PE.DIE工具. 须要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52pojie.cn/thread-378612-1-1.html第一课的作业题1. 1.对该程序(吾爱破解培训第一课作业一.exe)…

前言 随着移动互联网的爆发性增长,人们对移动应用的需求变得越来越复杂,企业在带给用户众多便利和享受的同时,却容易忽视应用自身的安全性问题,一旦遭受攻击,就会给企业和用户的经济或声誉带来影响.本文主要是站在企业的角度,阐述如何通过给android SO(动态链接库)加壳来提升移动APP的安全性,减少SO被逆向反汇编分析的风险. 注:本文只做单方面的总结,如果对整体提升移动应用安全性有需求的人员,可参考作者另外一份文档:<移动应用安全开发指南v1.0(Android)>. 撰写本文的目的: 1. …

UPS.AsPack压缩壳介绍: UPX .AsPack是一款先进的可执行程序文件压缩器.压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间.网络上传下载的时间和其它分布以及存储费用. 通过压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行.对于支持的大多数格式没有运行时间或内存的不利后果.     压缩的原理是什么呢? 压缩就好像把 可执行文件中的 123456 用字母%A代替,789ABC用字母%C代替,这样程序代码的体积不久变小了很多.(要是可以这样压缩,这不…

什么是UPX UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间.网络上传下载的时间和其它分布以及存储费用. 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果. UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/XP/CE 程序和动态链接库.DO…

@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 notepad_upx.exe的EP位于第二个节区,原notepad.exe的EP在第一个节区 资源节区(.rsrc)的…

uni-app 使用 upx 作为默认尺寸单位, upx 是相对于基准宽度的单位,可以根据屏幕宽度进行自适应.uni-app 规定屏幕基准宽度750upx. 开发者可以通过设计稿基准宽度计算页面元素 upx 值,设计稿 1px 与框架样式 1upx 转换公式如下: 设计稿 1px / 设计稿基准宽度 = 框架样式 1upx / 750upx 举例说明: 若设计稿宽度为 640px,元素 A 在设计稿上的宽度为 100px,那么元素 A 在 uni-app 里面的宽度应该设为:750 * 100…

upxmake --- upx source compilation 1. 下载upx所依赖的组件源码 zlib-1.2 http://www.zlib.net/zlib-1.2.11.tar.gz ucl-1.03 http://www.oberhumer.com/opensource/ucl/download/ucl-1.03.tar.gz lzma443 https://sourceforge.net/projects/sevenzip/files/LZMA%20SDK/4.43/lzma…

UPX编译及so加固 来源 https://www.cnblogs.com/Reverser/p/5778042.html 参考 http://www.cnblogs.com/fishou/p/4202061.html 1.download upx和所依赖的组件 upx3.92:https://www.pysol.org:4443/hg/upx.hg/archive/tip.tar.gz LZMA4.43:http://nchc.dl.sourceforge.net/project/sevenz…

的参考文章: http://www.cnblogs.com/fishou/p/4202061.html 1.download upx和所依赖的组件 upx3.:https://www.pysol.org:4443/hg/upx.hg/archive/tip.tar.gz LZMA4.:http://nchc.dl.sourceforge.net/project/sevenzip/LZMA%20SDK/4.43/lzma443.tar.bz2 UCL1.:http://www.oberhumer.…

uni-app 使用 upx 作为默认尺寸单位, upx 是相对于基准宽度的单位,可以根据屏幕宽度进行自适应.uni-app 规定屏幕基准宽度750upx.但如果设计稿不是750px,那换算单位可头疼了.莫急,能让计算机算的,不会让人算. 在HBuilderX [设置][编辑器设置]中进行配置 启用px转upx后,就可以愉快的在uniapp中使用了.如下图: 关于upx尺寸单位,更多见:upx尺寸单位 当然,在普通web开发中,也是支持px转rem的.…

PEView:https://www.lanzous.com/i5k9vbg UPX:https://www.lanzous.com/i5k9vch notepad.exe:https://www.lanzous.com/i5k9wfg 1.UPX运行时压缩 在upx工程文件,使用命令压缩 upx -o notepad_upx.exe notepad.exe 2 使用PEView具体查看压缩的效果: 查看第一节区(左压缩后,右压缩前) 首先观察到,压缩后第一节区磁盘文件中的大小变为了0,但是第一…

准备环境: 1. sudo apt-get update 2. sudo apt-get clang 3. apt-get install libstdc++-dev Reading package lists... Done Building dependency tree Reading state information... Done Package libstdc++-dev is a virtual package provided by:   libstdc++-8-dev 8.3…

 一个程序,被加了UPX壳... 结果加壳的人把UPX脱壳的关键参数都给删除掉了,我现在连脱壳都脱不掉... 我从网上下载了UPX最新3.91版本的壳,复制了两个UPX.exe,本来互相加壳和脱壳都没问题. 但是,我只要修改2几个字节就会变成这样 结果就是 ,2本来是加壳的,却不能被脱壳了,但是自身却仍然能运行.那句红字已经明显说过了,文件被修改过. 我改了哪里?就是这里. 一目了然.我把从0x1e0到0x214,这一共0x25个字节全部改掉了,结果,这个程序不能被UPX自己识别了. 所以,用U…

1. frp 程序占用大 .路由器 不够空间 2. UPX 下载地址       https://github.com/upx/upx/releases/ 3.  压缩命令  upx.exe -9 C:\frpc -k 4.  解压命令  upx.exe -d C:\frpc0.16.1 -k 5. 参数 -k  不删除源文件  -d 解压   -9(范围 1-9) 压缩率  (30% 50% 之间)…

用PEiD查壳           UPX v0.89.6 - v1.02 / v1.05 - v1.22    这个是入门的壳,只是一个简单的压缩壳 用Stud_PE查看PE文件头信息          主要是看一下ImageBase的值 00400000,这是一个16进制数.在后面OD载入后,可以用这个值在内存映像中查看PE文件加载到内存后的情况. 还有EntryPoint的值: 0000E8C0 程序入口 OD载入看内存映像                用OD载入,ALT+M打开这个窗口…

[个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单步跟踪 将要脱的exe扔进od.   这里选择"否",不然有些操作会出现错误.     进入之后从起点开始单步执行(快捷键F8),遇到pxx注意跳跃方向,手动断点跳过往回跳的指令.     遇到这种jxx后跟call指令的一并跳过.     一直单步知道如上图这样的,跳跃跨度极大,让其跳跃…

目录 LoardPe与Import REC X64dbg脚本 脱壳 Upx 一丶X64dbg调试器与脚本 1.1 起因 1.2 脚本的调试 1.3 Upx脱壳脚本 二丶LoardPe 内存Dump与Import Rec导入表修复工具 2.1 脚本执行到OEP 2.2 LoardPe Dump内存 2.3 Import Rec 进行修复 LoardPe与Import REC X64dbg脚本 脱壳 Upx 将要学习到的内容 x64脱壳脚本的编写 LoarPe 与Import 工具的使用 一丶X64…