@date: 2016/11/29 @author: dlive 0x00 前言 周六周日两天在打HCTF2016线上赛,没时间看书,打完比赛接着看~~ 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 notepad_upx.exe的…

@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 notepad_upx.exe的EP位于第二个节区,原notepad.exe的EP在第一个节区 资源节区(.rsrc)的…

示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加壳的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx壳: 压缩之后查壳: 脱upx壳 od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指令,即call指令),然后按f4,可直接跳到此处:若下一句汇编指令是call指令,则选call后边的非call指令,…

什么是UPX UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间.网络上传下载的时间和其它分布以及存储费用. 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果. UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/XP/CE 程序和动态链接库.DO…

脱壳第三讲,UPX压缩壳,以及补充壳知识 一丶什么是压缩壳.以及壳的原理 在理解什么是压缩壳的时候,我们先了解一下什么是壳 1.什么是壳 壳可以简单理解为就是在自己的PE文件中包含了代码.而有不影响我们的PE文件的执行. 2.什么是压缩壳 压缩壳指的是让我们的PE文件变小. 3.压缩壳原理 首先可以看到,我们的PE文件 一个PE头,两个节数据,其中节和节之间还有对齐值.而上图是我们的一个正常壳映射到内存中的示意图. 4.压缩壳的思路 从上图可以看出, 我们的PE文件,压缩一下变成了一个新的PE文…

PEView:https://www.lanzous.com/i5k9vbg UPX:https://www.lanzous.com/i5k9vch notepad.exe:https://www.lanzous.com/i5k9wfg 1.UPX运行时压缩 在upx工程文件,使用命令压缩 upx -o notepad_upx.exe notepad.exe 2 使用PEView具体查看压缩的效果: 查看第一节区(左压缩后,右压缩前) 首先观察到,压缩后第一节区磁盘文件中的大小变为了0,但是第一…

1. frp 程序占用大 .路由器 不够空间 2. UPX 下载地址       https://github.com/upx/upx/releases/ 3.  压缩命令  upx.exe -9 C:\frpc -k 4.  解压命令  upx.exe -d C:\frpc0.16.1 -k 5. 参数 -k  不删除源文件  -d 解压   -9(范围 1-9) 压缩率  (30% 50% 之间)…

UPX和WinUpack压缩壳的使用和脱法 - 脱壳篇06 让编程改变世界 Change the world by program 今天小甲鱼给大家介绍两款压缩壳:UPX和WinUpack. UPX是时下最流行的压缩壳之一,因为它的压缩效率和稳定性都是比较不错的,另外一点呢他是开源的,小甲鱼在这节课的源代码下载处,提供了UPX的源代码给大家研究一下,它是用C++写成的. ...... 此处省略很多字 ...... UPX压缩壳官方原版下载地址:http://bbs.fishc.com/threa…

目录 LoardPe与Import REC X64dbg脚本 脱壳 Upx 一丶X64dbg调试器与脚本 1.1 起因 1.2 脚本的调试 1.3 Upx脱壳脚本 二丶LoardPe 内存Dump与Import Rec导入表修复工具 2.1 脚本执行到OEP 2.2 LoardPe Dump内存 2.3 Import Rec 进行修复 LoardPe与Import REC X64dbg脚本 脱壳 Upx 将要学习到的内容 x64脱壳脚本的编写 LoarPe 与Import 工具的使用 一丶X64…

作者:张佩][原文:http://www.yiiyee.cn/Blog] 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe.ntsd.exe.kd.exe和Windbg.exe.其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共同特点是,都只有控制台界面,以命令行形式工作. Windbg.exe在用户态.内核态下都能够发挥调试功能,尤其重要的是,它不再是命令…

在网站发布中,一般要将js,css文件压缩减少体积,以减少在HTTP请求中的流量.将Microsoft Ajax Minifier集成到VS2013中就可以对JS.CSS进行编译时压缩. VS2013的集成方法: Asp.net网站上的详细说明网址:http://www.asp.net/ajaxlibrary/AjaxMinQuickStart.ashx       Microsoft Ajax Minifier下载地址:http://ajaxmin.codeplex.com/ 下载安装后,按照…

3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息.调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺. 3.1 进程命令 进程命令包括这些内容:显示进程列表.进程环境块.设置进程环境. 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|..tlist.!process和!dml_proc. 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: |  [进程号] 请注意这里的定语:被调试进程列表…

UPX (the Ultimate Packer for eXecutables)是一款先进的可运行程序文件压缩器.压缩过的可运行文件体积缩小50%-70% ,这样降低了磁盘占用空间.网络上传下载的时间和其他分布以及存储费用. 通过 UPX 压缩过的程序和程序库全然没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果. UPX 支持很多不同的可运行文件格式 包括 Windows 95/98/ME/NT/2000/XP/CE 程序和动态链接库.DOS 程序. L…

昨天,UPX发布了3.93版本. UPX(the Ultimate Packer for eXecutables)是一个非常全面的可执行文件压缩软件,支持dos/exe.dos/com.dos/sys.djgpp2/coff. watcom/le.win32/pe.rtm32/pe.tmt/adam.atari/tos.linux/i386等几乎所有平台上的可执行文件, 具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较. 1.准备源码包 直接去github下载zip包或者直接克隆一下.…

昨天,UPX发布了3.93版本. UPX(the Ultimate Packer for eXecutables)是一个非常全面的可执行文件压缩软件,支持dos/exe.dos/com.dos/sys.djgpp2/coff. watcom/le.win32/pe.rtm32/pe.tmt/adam.atari/tos.linux/i386等几乎所有平台上的可执行文件, 具有极佳的压缩比,还可以对未压缩的文件和压缩完后进行比较. 1.准备源码包 直接去github下载zip包或者直接克隆一下.…

我们先看一下这个官方文档 http://pythonhosted.org/PyInstaller/ 其实常用的也就是两句 pyinstall ***.py pyinstall -F ***.py 一:模块的安装 本来是想把pyinstall装在python基础环境中.但是发现这个打包的时候,需要读取python环境中的包,所以还是装在每个项目的虚拟环境中吧. http://www.cnblogs.com/jackadam/p/8067327.html 参考这篇文章,直接装pyinstaller …

引言 春节放假回老家,没有把笔记本电脑带上,由于肺炎疫情的原因只能呆在家里,写的一个WinForm程序无法正常使用,需要及时修复,看我如何使用家里十年的台式机来调试修复 .NET 应用程序. WinForm程序无法正常使用的原因,主要是在解析html源代码的时候,找不到指定的节点导致的错误. 开发环境 CPU:Pentium(R) Dual-Core CPU E6300 @ 2.80GHz 内存:2G 系统:Windows 7 家庭普通版 开发工具 尝试安装vs code软件,发现安装完成运行后…

upx学习 今天我们来学习一款给应用加壳的软件,叫做upx(the Ultimate Packer for eXecutables) 首先我们先看下它**百科的释义: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间.网络上传下载的时间和其它分布以及存储费用. 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运…

1.使用Detect It Easy进行查壳: 2.使用x32dbg打开该带壳程序,在选项->选项->异常中添加区间设置0~FFFFFFFF全忽略: 3.我们F9运行到程序入口处,看到了pushad,我们使用ESP定律进行脱壳: 4.运行后的位置在lea eax,我们可以看到其下有jne upx(3.91).407ABB,jmp upx(3.91).4012CD,我们当前的EIP地址为00407AB7,此处是个大跳转,极有可能是OEP,在jmp下断点,F9运行至此处,单步步入: 5.在此处就可…

http://blog.csdn.net/pipisorry/article/details/50620122 Python不是每个人的计算机里面都有安装,当您写了一个好用的工具,需要一个standalone exectuable环境的需求.并且用python写些脚本什么的,有时候脚本写完以后,每次运行都得在IDE打开在运行,很麻烦,所以经常将python编译成exe. 本文介绍如何将一个python项目(或者简单一点一个python脚本文件)转化为windows下的可执行文件. 转化要使用py…

程序名称 作者 说明 文件结构与元数据查看看 AssemblyView1.0   可以查看.net平台下exe,dll源代码的类结构,比如变量,属性,函数,事件的定义. Anakrino   源代码开放的.NET反编译工具,在.net 1.1 下要注意更新Anakrino.xmlhttp://www.saurik.com/net/exemplar/ Asmex 1.0   查看.net文件结构 反编译 ILDASM 1.1ILDASM 2.0   NET Framework SDK 中附带的,M…

题目: 使用 file 命令查看下载回来的 flag 文件,发现是一个64位的 ELF 可执行程序.通过查看,发现其具有明显的 UPX 压缩标志,所以解压之. 使用命令upx –d 进行脱壳,如果没有upx 请先安装(sudo su apt-gat install upx) 脱壳后在IDA下进行调试. 通过 UPX 成功脱壳后得到 flag-upx,拖入 IDA 进行静态分析,发现在 0x0000000000401184 处引用了一个 flag 变量,通过 IDA 的交叉引用功能找到了该字符串,…

文章难易度:★★★ 文章阅读点/知识点:逆向破解 文章作者:Sp4ce 文章来源:i春秋   关键字:网络 信息安全技术 本文参与i春秋社区原创文章奖励计划,未经许可禁止转载! 一.前言 通过前面几篇的学习,我们学会了利用暴力破解达到绕过注册机制和追踪注册码来达到"合法"用软件的方法,但是我们往往会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX.北斗.ASDPack.Npack.PECompact等)和保护壳(如强壳Safengine.VMpro…

以下只是简单的思路和定位.也许有人秒过,但是不要笑话我写的笨方法.定位永远是过期不了的. 其实这里废话一下 , 本人并不是大牛 ,今天跟大家分享下 .所以写出这篇文章.(大牛飘过) 只是个人实战的经验而已 ,没有任何技术含量.ok  我们开始 我们只谈vc++源码免杀 ,过掉 国内的杀毒软件 . 达到不损坏功能 正常上线 从而无视杀软的存在 首先说中国国内杀毒软件的特征 . 1  金山毒霸 ,我个人觉得杀的代码部分和字符串还是比较普遍的 .输入表函数 我个人不多见 . 2  瑞星 ,经实战经验…

众所周知,Gcc编译的原始程序一般很大,其实有几种方法能大大减小目标代码的体积,一般有以下几种方法. 基本知识来源:http://www.mingw.org/wiki/Large_executables 1.禁用调试信息 Release编译时不要加上-g开关. 2.使用-Os编译程序. 不要使用-funroll-loops等可以加速程序执行但是会大大增加目标代码体积的开关. 3.编译后的程序使用strip去除符号和偏移(限于可执行程序和共享库,其他易出问题). 4.如果你不需要RTTI,编译时加…

一.准备软件1. MinGW     (C:\Qt\MinGW)http://pan.baidu.com/share/link?shareid=174269&uk=673227135这个文件解压就可以用了.2. ActivePerl3. qt-win-opensource-4.8.4-mingw.exe (C:\Qt\4.8.4)4. qtcreator2.6x二.安装软件1. qt-win-opensource-4.8.4-mingw.exe,提示MinGW路径时,指定到正确位置(C:\Qt\…

Lazarus的设计目标是应用Free Pascal,所以所有凡是Free Pascal能运行的平台,Lazarus都可以运行.最新版本能运行于Linux,Win32和Mac OS.整个界面的外观和操作和Delphi IDE一样,因此,如果你会使用Delphi的话,用起Lazarus IDE来就一定能得心应手了. Lazarus是一个用于FreePascal的快速应用开发(RAD)的面向对象的FreePascal集成开发环境(IDE),不仅可 最新版lazarus0.9.30.4(3张) 以编译…

转自:http://bbs.pediy.com/showthread.php?threadid=11315 一个简单的linux crackme的逆向前言    最不喜欢的就是写破解教程,酒后一时冲动,老夫卿发少年狂,许下将写一篇linux平台逆向的文章的诺言,作此文实非颇不得已.在此申明:本文在技术上非常初级,并没有用到什么高深的技术,本人水平亦有限,如有差错,还请见谅!开始之前的准备    正如C语言教程从 hello world 开始,我们也由一个 crackme 说开去.本文的例子程序你…

实验目的 通过本部分内容的学习,认识到杀软局限性,提高在工作生活中对于恶意软件防范能力. 教程 实验内容 使用msf编码器,msfvenom,veil-evasion,shellcode编程等免杀工具. 通过组合应用各种技术实现恶意代码免杀. 用另一电脑实测,在杀软开启的情况下,可运行并回连成功. 实验步骤 (一)正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧 使用msfvenom直接生成可执行文件,vi…

用法 Usage: python sqlmap.py [options] Options: -h, --help Show basic help message and exit -hh Show advanced help message and exit --version Show program's version number and exit -v VERBOSE Verbosity level: 0-6 (default 1) Target: At least one of the…