upx压缩notepad.exe(运行时压缩)

Posted mayfly-nymph

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了upx压缩notepad.exe(运行时压缩)相关的知识,希望对你有一定的参考价值。

PEView:https://www.lanzous.com/i5k9vbg

UPX:https://www.lanzous.com/i5k9vch

notepad.exe:https://www.lanzous.com/i5k9wfg

 

1.UPX运行时压缩

在upx工程文件,使用命令压缩

upx -o notepad_upx.exe notepad.exe

技术图片

 

2 使用PEView具体查看压缩的效果:

查看第一节区(左压缩后,右压缩前)

技术图片

 

首先观察到,压缩后第一节区磁盘文件中的大小变为了0,但是第一节区内存大小变为了10000,也就是说在压缩后PE文件在运行瞬间,将(文件中)压缩的代码解压到(内存中的)第一节区。

 

2.1 其余两个区比较数据

技术图片

 

技术图片

以上是关于upx压缩notepad.exe(运行时压缩)的主要内容,如果未能解决你的问题,请参考以下文章

《逆向工程核心原理》读书笔记——第15章 调试UPX压缩的notepad程序

Upx 压缩go编译的程序 frp

脱壳第三讲,UPX压缩壳,以及补充壳知识

木马UPX压缩加壳和ASpack加密加壳算法简单讲解

什么叫"加壳"?

如果 Notepad.exe 正在运行,则 taskkill 如果未运行,则转到下一条语句