专栏首页逆向技术LoardPe与Import REC X64dbg脚本 脱壳 Upx

LoardPe与Import REC X64dbg脚本 脱壳 Upx

LoardPe与Import REC X64dbg脚本 脱壳 Upx

将要学习到的内容

  • x64脱壳脚本的编写
  • LoarPe 与Import 工具的使用

一丶X64dbg调试器与脚本

1.1 起因

在逛论坛的时候,发现别人发的CrackMe带有UPX压缩,直接进行脱壳. 使用EPS定律即可.

但是 x64Dbg下没有脱壳脚本,为什么使用脱壳脚本.原因是脚本方便.不用做重复动作.

正因为没有脱壳脚本呢.所以进行脱壳脚本的编写.

其实x64Dbg脚本特别简单.直接去官网去看就行.

https://help.x64dbg.com/en/latest/commands/index.html

脚本就是模拟人的手工操作.

例如你在调试程序的时候, 单步步过(F8) 那么脚本的命令就是sti 你如果是步进(F7) 那么脚本的命令就是

sto, 例如你通过x64Dbg界面下硬件断点. 那么脚本命令就是(bph) 具体参数可以查一下命令手册.

1.2 脚本的调试

写脚本简单,主要是脚本的调试.而且OllyDbg也有脚本.其实都是一样的.只不过命令有些许不同而已.

具体的看一下差异化即可.

Tab 在脚本窗口加载脚本之后,Tab建则是单步执行脚本.也就是一条命令一条命令的执行

Space(空格键) Space则是直接运行起来你的脚本

1.3 Upx脱壳脚本

下面的脚本就是写的一个Upx脱壳脚本.注意Upx版本不同,有通用的Upx脚本,我的只是为了学习,临时针对我分析的CrackMe写的一个Upx脱壳脚本.

脚本如下:

bphc                        //清除所有硬件断点
sti                         //执行一次F8(步过)
bph esp,r,1                 //对当前Esp栈顶下 硬件读取断点,设置一个字节 r代表读取 
erun                        //执行一次F9也就是运行起来,erun就是中间出异常了交给调试器执行
find eip,e9,1000            //利用Find功能在EIP位置寻找 jmp,搜索的内存大小为1000
bphc                        

bph $result                 //搜寻的结果会放到 $result变量中
erun                        //执行
bphc       
sto 2                       //执行一下F7
cmt eip,"Current Eip is Oep Please Dump Entry" //在EIP位置填写注释
ret

其实这段脚本主要的功能就是 模拟ESP定律执行的步骤, 下好硬件断点,然后执行,之后之后会在断点位置断下,然后在寻找JMP,找到之后在对此位置下硬件断点.继续执行,继续断下,断下后然后进入就是OEP了.

二丶LoardPe 内存Dump与Import Rec导入表修复工具

2.1 脚本执行到OEP

如上图所示,脚本执行之后会在OEP位置,我加了段提示就是告诉你要Dump内存了.

x64也有相关插件直接dump+修复的工具.我没配置.索性使用这种方法.(loardpe + import rec)

可以得出以下信息 OEP VA = 00401500

ImageBase = 00400000 (这个不贴图了,是这个)

以上信息一会会用到.

2.2 LoardPe Dump内存

此时x64Dbg在OEP位置,不要关闭x64,打开LoardPe 以管理员运行,不然可能搜索不到你的进程

完整转存内存到文件即可. 此时这个文件无法正常运行,需要我们修复一下.

2.3 Import Rec 进行修复

总共四个步骤

ps:以管理员运行 Import Rec

  • 1.选择你的进程,也就是x64Dbg 挂起的那个进程
  • 2.OEP位置, 这个就用到我们上面的信息了. OEP这里是RVA 我们上边得出OEP VA = 00401500 imageBase = 00400000

RVA = VA - ImageBase = 1500

所以这里我们填写1500即可. 注意,x64Dbg此时的EIP必须也是OEP位置.如果不是在你LoardPe的时候dump的内存就是错误的 且修复可能不成功

  • 3.Get Imports 获取导入表 填写好上面信息之后点击获取导入表即可.可以获取相关导入表
    1. Fix Dump 获取导入表之后,针对我们刚刚LoardPe dump下的内存文件进行修复. 修复好之后就可以正常启动了

工具以及样本: https://www.lanzous.com/iaymihg

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 保护模式第六讲-IDT表-中断门 陷阱门 任务门

    之前所说 GDT表 中存储了一些段描述符. 比如有调用门 段描述符. 代码段段描述符. 数据段段描述符 TSS段段描述符

    IBinary
  • 64位内核开发第十讲,IRQL中断级别了解

    中断就是产生的一个电信号.比如键盘.当按下就会产生电信号发送给CPU 而CPU就会停止当前处理.去执行电信号.他是根据IRQL中断级别来进行处理的. 如下图...

    IBinary
  • Win32知识之窗口绘制.窗口第一讲

      在学习Win32的时候. 很多操作都是窗口进行操作的.那么今天就说一下窗口的本质是什么. 

    IBinary
  • 平台设计中的脚本管理

    前期揉入了一些功能,因为主要是面向基础功能,所以进度略慢,如果要想一下子有种井喷的效果,那就是脚本化和流程化大显身手的时候了。 如果尽可能减少开发和业务同学之间...

    jeanron100
  • 4399AT测试工具脚本,执行,报告功能概览

    本章主要分为三部分介绍4399ATUI自动化测试工具,分别从脚本,脚本命令执行,结束后报告的展示;

    厦门-安仔
  • 三歪用了10分钟写完了一个需求

    每个公司都会发短信,对的吧?所以一般的公司都会有一个发短信的平台(我司有一个系统整合了所有的消息下发,取了一个名字叫做「消息管理平台」)。

    Java3y
  • 小话游戏脚本(一)

    ( 题记:近来在网上学习到一个新的观点(应该是来自刘未鹏的BLOG :) ):书写是为了更好的学习,这与之前脑子里传道授业解惑的观点颇为迥异,品一品又颇以为然...

    用户2615200
  • 浏览器用户脚本—打造自己的专属页面

    一段用户脚本就是一个程序,通常用JavaScript语言来写,用于修改web页面以提升浏览体验。通常通过浏览器的用户脚本管理插件来开启,例如Tampermonk...

    俗可耐
  • IC入职新同学必备技能手册 - Shell/Tcl/Perl (预告)

    准备用3-5篇文章的篇幅,将一些必备的技能cover一遍,期望对于入职IC的新同学有一些帮助。这些东西,每一项其实在网络上的介绍资源都非常丰富,但是IC新同学常...

    空白的贝塔
  • Android TextView中文字通过SpannableString来设置超链接、颜色、字体等属性

    在Android中,TextView是我们最常用的用来显示文本的控件。   一般情况下,TextView中的文本都是一个样式。那么如何对于TextView中各...

    xiangzhihong

扫码关注云+社区

领取腾讯云代金券