关于upx壳的一点认知,以及upx壳的特征识别

众所周知upx是加壳工具能够压缩程序代码,减小程序体积。

不得不说upx的兼容性是真的非常好的,不管是dephi还是VC还是易语言还是VB都可以完美兼容。

当然upx脱壳也是非常容易的,upx是怎么被脱壳的呢?

一般是被识别出了upx的特征,然后直接再拖入到upx加壳器中,加壳器自己就可以识别出这是加过壳的,然后执行脱壳。(upx加壳器就可以脱自己加密出来的upx)

upx的特征,我们可以通过抹掉特征码来隐藏

特征码处1:upx字符串,特征码为55 50 58 一般存在于区段名称这里,等字节长度随意替换,对程序没有任何影响

关于upx壳的一点认知,以及upx壳的特征识别

特征码处2:oep前几个字节  60 BE ?? ?? ?? 00 8D BE ?? ?? ?? FF (这个真的不好去掉,还没想到怎么抹掉特征...)

关于upx壳的一点认知,以及upx壳的特征识别

 

广告:E盾网络验证 www.ezdun.net

 

上一篇:upx.txt


下一篇:攻防世界simple_unpack_逆向之旅003