23主动防御首先拼接三段数据，然后与i异或，得到提示然后连续十次base64编码，提示“found”实际上并没有找到flag，而是一个网址回到View-A视图，发现一个交叉引用跟进发现关键字符‘f’，‘g’，逆推出v1，异或得出flag24Transform将输入的flag放进Str，长度为33，如果414040的数据和St

参考文章:https://bbs.kanxue.com/thread-268159.htm很多地方都是复制粘贴的,学习学习大佬的文章。寻找入口点1、加载程序F9运行,会发现停在push处,push操作将所有寄存器的值压栈,这一步之后会加载UPX的解压代码用于将原始程序解压。2、upx工作原理首先将程序压缩。所谓的压缩

攻防世界-难度1easyre-xctf.zipUpx壳这里先直接用工具脱壳，后面学会手动脱壳再回来补充。工具下载地址：https://down.52pojie.cn/?query=upxupx.exe-deasyre.exe再查一次，避免多重壳。逆向分析ida搜索字符串，shift+F12是flag的第2部分，现在查找第一部分。打开反汇编子

第3次实验1基础问题回答（1）杀软是如何检测出恶意代码的？杀毒软件检测恶意代码的主要方法包括：签名检测：这是最传统的方法，依赖于一个不断更新的恶意软件签名数据库。杀软通过比对文件的特征码（签名）与已知恶意软件的特征码进行匹配来检测恶意代码。行为分析：杀软监控程序的行为，包括对

使用pyinstaller打包python代码程序时报错:UPXisnotavailable原因是 python环境的Scripts文件夹内缺少了一个upx.exe的文件到官网https://github.com/upx/upx/releases/tag/v4.2.2中下载一个UPX,将下载文件解压后得到的upx.exe文件(解压后的所有文件里只要这一个文件即可,

UPX是什么UPX全称是"UltimatePackerforeXecutables"，是一个免费、开源、编写、可扩展、高性能的可执行程序打包程序。换句话说一个可执行文件的压缩工具。主要的功能是将可执行的二进制程序、动态链接库和其他的二进制文件压缩为更小的体积，UPX通常可以将文件大小减少50%

最近着手面板一把梭，在分析小皮的时候比较耗费时间，简单记录一下小皮面板安装目录/usr/local/phpstudy/在这个目录下只能找到一个安装结果信息install.result，找不到其他数据分析源码发现，不论是何请求，它都要发送到127.0.0.1:8090去处理使用的是这个程序，发现depends目录的时

题目解法这道题蛮搞的，不算简单。刚开始拿到这道题运行一下有些信息，是一道迷宫题，可能flag是我们输入的路线吧？先拿exeinfo来看看告诉我有壳，但是不要用upx-d来脱壳，结合题目的标签，知道这题有一个魔改upx壳。硬脱不行。说实话我对upx的了解很皮毛，网上搜了搜upx壳的详细源

此项目在一些大佬的基础上进行了修改，或许能提供一些思路。还在学习中很菜很菜，不足之处还请师傅们多多指点

moectf{0h_y0u_Kn0w_H0w_to_Rev3rse_UPX!!!}UPX!关键是要f5正确的函数在下面的这个函数f5得到 找到对应的十六进制进行亦或操作再转成字符串即可 

Windows1064-bitsPython3.8.1064-bitsPySide25.15.2PyInstaller4.3UPX4.1.0itraises:"ThisapplicationfailedtostartbecausenoQtplatformplugincouldbeinitialize"Solutioninspecfiles,addupx_exclude=['qwindows.dll'

壳作用-保护可执行文件壳的种类压缩壳-减小可执行文件体积加密壳-对抗逆向分析压缩壳原理压缩后的文件和原文件md5明显不一样，但如何保证程序逻辑是原文件的呢？我们在解压缩的时候，保证代码得是一样的在PE结构中第一个节一般挨在PE头，节处理完（代码覆盖）接着帮文件修改它的各

查壳：有个壳，脱一下，upx脱壳方法讲过了，（这里注意，低版本的upx是脱不掉壳的，换高版本哈）可以去：https://www.cnblogs.com/TFOREVERY/p/17366210.html不赘述了：64位进IDA老思想进主函数：对输入flag进行一个方法加密sub_4009AE：跟进：emm。menu优秀：简单的做一个逆运算就好了，这里有一个小坑，

1.UPXisnotavailablepyinstaller添加图片打包成exe时遇到这个问题，如图所示。需要下载upx.exe，放在pyinstaller.exe同一个目录下。把upx.exe放在如下目录：

ELF可执行文件脱壳使用upx对ELF文件进行加壳，加壳后的文件不包含动态链接信息，也就是说加壳后的可执行文件是一个纯静态链接文件。对于纯静态链接的可执行文件而言，linux内核

upx脱壳以“buure新年快乐”题目为例。首先将题目解压后拖进Exeinfope   可发现题目文件为32位，且加了upx壳，其实upx脱壳比较简单，但是我总是忘记步骤，因而记录一下。

起因在windows1064位下测试C和Go效率都差不多但Go编译出来的文件比C编译出来的还大个人感觉简单的Hellowworld都这么大，体积太夸张了所以查询了一些关

URL：https://cloud.tencent.com/developer/article/1997890使用UPX压缩可执行文件发布于2022-05-0920:34:03阅读1.4K0 UPX 可以有效地对可执行文件进行压

BUUCTF新年快乐脱壳工具与手动脱壳用ida打开,发现函数很少:   推测可能被加了壳.用查壳软件发现是upx壳:   这里可以使用upx脱壳工具进行脱壳:   

Lab01-02.exe实验内容：1、将文件上传到http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗？2、是否有这个文件被加壳或混淆的任何迹象？如

写在前面博主本人萌新，只入门了Re,这次比赛只会签到题。所以本篇博客也不叫WP，只是算是我赛后复盘的学习记录。真正的WP可以看官方WP或者看看Re大佬的WP。因为现在还没有学

LyScript插件可实现对压缩壳的快速脱壳操作，目前支持两种脱壳方式，一种是运用API接口自己编写脱壳过程，另一种是直接加载现有的脱壳脚本运行脱壳。LyScript项目地址:​​http

承接前面的文章https://www.cnblogs.com/passedbylove/p/16759512.htmlhttps://www.cnblogs.com/passedbylove/p/16756063.html自定义Python插件的setup.pyfromdistu