关于upx壳的一点认知,以及upx壳的特征识别
<p>众所周知upx是加壳工具能够压缩程序代码,减小程序体积。</p><p>不得不说upx的兼容性是真的非常好的,不管是dephi还是VC还是易语言还是VB都可以完美兼容。</p>
<p>当然upx脱壳也是非常容易的,upx是怎么被脱壳的呢?</p>
<p>一般是被识别出了upx的特征,然后直接再拖入到upx加壳器中,加壳器自己就可以识别出这是加过壳的,然后执行脱壳。(upx加壳器就可以脱自己加密出来的upx)</p>
<p>upx的特征,我们可以通过抹掉特征码来隐藏</p>
<p>特征码处1:upx字符串,特征码为55 50 58 一般存在于区段名称这里,等字节长度随意替换,对程序没有任何影响</p>
<p><img src="https://img2020.cnblogs.com/blog/1394840/202101/1394840-20210118225303575-1589050811.png"></p>
<p>特征码处2:oep前几个字节 60 BE ?? ?? ?? 00 8D BE ?? ?? ?? FF (这个真的不好去掉,还没想到怎么抹掉特征...)</p>
<p><img src="https://img2020.cnblogs.com/blog/1394840/202101/1394840-20210118225543291-1053790483.png"></p>
<p> </p>
<p>广告:E盾网络验证 www.ezdun.net</p>
<p> </p><br><br>
来源:https://www.cnblogs.com/xiazai/p/14295684.html
頁:
[1]