linuxupx

1. linux里文件如何進行文件脫殼

linux很少有需要crack的軟體，所以最近總是自娛自樂。自己寫的軟體自己破著玩但是由於都是知道自己的手段，沒有什麼意思。真的希望有高手們寫些crackme for linux 。
最近看了看windows的脫殼大致的理解了脫殼的原理，之前沒有怎麼接觸脫殼，通常只是選擇沒有殼的軟體看看。在linux下的殼沒有找到幾個。只找到了一個upx的殼，在windows下是個弱殼。實際上在linux下面也是弱殼，完全可以使用"upx -d"的命令解決問題。但我總是喜歡自己手動的。呵呵....純屬於自娛自樂。
ok,開始我們的linux的upx的脫殼之旅.........
我在選擇工具的時候花了很多時間，忽然發現GDB在upx面前是那麼的蒼白無力...也終於知道為什麼有人說GDB不適合做逆向了...雖然軟體在調試器里可以正常於運行，正常下斷。但是根本無法查看反匯編的代碼.......。
無奈無奈....使用傳說中最好的工具 IDA 為此我特地簡單的學習了一下IDC腳本的使用方法...
沒有什麼資料可以參考，是一件很不愉快的事情，因為不知道能不能成功。不管了，一步一步來吧...
我用「upx －d「 脫出了原來的文件，發現文件是全的，沒有任何部分丟失，所以我相信這些文件會出現在進程空間的某個時間的某個角落，這個很大的堅定了我手動脫殼的信心（但是實際上到這篇文章的結尾我也沒有能夠在找到完整的程序文件，但我相信理論上內存空間中應該會出現完整的文件的...）。
我的加殼軟體是我上次文章中用到做外掛的mines（掃雷游戲）。先找到了upx-3.03-i386_linux 軟體 附件中我會給出的免的度這篇文章的人去尋找了。
對我們目標軟體加殼，命令如下，的確是個好用的壓縮殼軟體，直接有54％的壓縮律。
代碼:
[jun@beijihuCom mpupx]$Content$nbsp;./upx mines
Ultimate Packer for eXecutables
Copyright (C) 1996 - 2008
UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008
File size Ratio Format Name
-------------------- ------ ----------- -----------
13960 -> 7556 54.13% linux/elf386 mines
Packed 1 file.
[jun@beijihuCom mpupx]$Content$nbsp;
好了，我們開始調試他了，加了殼以後，一般的調試軟體已經對他無能為力了...
實驗一下GDB 和 DDD 的效果...以及objmp
readelf還可以正常使用，（僅限於一部分功能.呵呵，不詳談了...）
代碼:
[jun@beijihuCom mpupx]$Content$nbsp;readelf -e ./mines
ELF Header:
Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2』s complement, little endian
Version: ; 1 (current)
OS/ABI: UNIX - Linux
ABI Version: 0
Type: EXEC (Executable file)
Machine: Intel 80386
Version: 0x1
Entry point address: 0xc02598
Start of program headers: 52 (bytes into file)
Start of section headers: 0 (bytes into file)
Flags: 0x0
Size of this header: 52 (bytes)
Size of program headers: 32 (bytes)
Number of program headers: 2
Size of section headers: 40 (bytes)
Number of section headers: 0
Section header string table index: 0
There are no sections in this file.
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
LOAD 0x000000 0x00c01000 0x00c01000 0x01d60 0x01d60 R E 0x1000
LOAD 0x0002fc 0x0804b2fc 0x0804b2fc 0x00000 0x00000 RW 0x1000
上面的輸出，我們可以發現他的入口點是0xc02598 這個入口點已經和GCC編譯出來的程序大不一樣了。實際上重「upx －d「脫出來的效果來看，原來的入口點基本上是不會改變的，也就是說我們的手動脫殼的時候軟體的入口點，載入方式都是和未加殼的軟體是一樣的...這一點又為我們的脫殼成功，增加了砝碼..
繼續....gdb 調試一下
代碼:
(gdb) b *0xc02598
Breakpoint 1 at 0xc02598
(gdb) r
Starting program: /home/jun/Crack/mpupx/mines
warning: shared library handler failed to enable breakpoint
(no debugging symbols found)
Breakpoint 1, 0x00c02598 in ?? ()
(gdb) disassemble
No function contains program counter for selected frame.
(gdb)
gdb看不反匯編代碼，暈了都不知道下一步的操作是什麼....看來是沒有什麼用了
祭起傳說中的逆向利器IDA.學西習了一下，簡單操作，我開始了調試之旅.
代碼:
[jun@beijihuCom mpupx]$Content$nbsp;idal ./mines
等到載入完成，會停在入口處，呵呵在游標在call上直接按F4，程序運行，停到了入口出
單步運行...實際上我沒有什麼辦法，不知道有什麼下好的方法下斷點，可以使這個簡單方法調試...
這邊我是這么想的，upx是壓縮殼，當他把執行權交給原目標程序的時候，必定會有一個大的跳轉，好多新手在windows脫殼，都是以這個為oep的標準的。linux應該也不會例外的...
F8單步到0xc025c8 跳到 oxc025d1 在 0xc025d3 又會跳回來。顯然是個循環。不在循環里浪費時間了。我們向下找找，下面有個retn返回。游標移到上面F4。實際上沒有什麼把握。只是蒙的，結果很好，沒有飛走.F8單步到了這里
繼續單步，retn到一個地方
不詳細分析了往下看。翻阿翻，不會這么巧吧.看見了 jmp dword ptr [edi]跳轉，這不會是傳說中的大跳吧。
不管直接F4到這里...哈哈很成功。
單步一下，跳到了這里。
不懂代碼的具體含義，但是明顯不是程序的入口...為什麼?單步....繼續
看到這里我忽然頓悟，這里是在做ld連接，不能讓他運行了，很可能是為了我們目標程序的運行進行共享庫的連接..會修改我們內存中的映像文件。這樣我們mp出來的就不是原來的干凈程序，因為我們沒有修復工具，比起windows裡面的PE修復要麻煩多了.....所以趕緊mp出來...
用來mp映像的idc腳本
代碼:
#include <idc.idc>
#define PT_LOAD 1
#define PT_DYNAMIC 2
static main(void)
{
auto ImageBase,StartImg,EndImg;//基址 08048000
auto e_phoff;
auto e_phnum,p_offset;//paddr 0xc 地址，pmemsz ox14大小,p_offset 0x4
auto i,mpfile;
ImageBase=0x08048000;
StartImg=0x08048000;
EndImg=0x0;
Message("%8x\n",Dword(ImageBase));
if (Dword(ImageBase)==0x7f454c46 || Dword(ImageBase)==0x464c457f )
{
if(mpfile=fopen("./mpfile","w+"))
{
e_phoff=ImageBase+Word(ImageBase+0x1c);
e_phnum=Word(ImageBase+0x2c);
for(i=0;i<e_phnum;i++)
{
if (Dword(e_phoff)==PT_LOAD || Dword(e_phoff)==PT_DYNAMIC)
{ p_offset=Dword(e_phoff+0x4);
StartImg=Dword(e_phoff+0xc);
EndImg=Dword(e_phoff+0xc)+Dword(e_phoff+0x14);
mp(mpfile,StartImg,EndImg,p_offset);
Message("mp LOAD%d ok.\n",i);
}
e_phoff=e_phoff+0x20;
}
fseek(mpfile,0x30,0);
fputc(0x00,mpfile);
fputc(0x00,mpfile);
fputc(0x00,mpfile);
fputc(0x00,mpfile);
fclose(mpfile);
}else Message("mp err.");
}
}
static mp(mpfile,startimg,endimg,offset)
{auto i;
auto size;
size=endimg-startimg;
fseek(mpfile,offset,0);
for ( i=0; i < size; i=i+1 )
{
fputc(Byte(startimg+i),mpfile);
}
}
改變文件的屬性，讓他可以運行。
代碼:
[jun@beijihuCom mpupx]$Content$nbsp;su
口令：
[root@beijihuCom mpupx]# chmod 755 ./mpfile
[root@beijihuCom mpupx]# ./mpfile
程序運行的很好..
總結：第一次在linux下手動脫殼，看上去文章中寫的很輕松，實際上在之前做了很多工作。包括ELF的載入等等。還有我發現如果程序的節表頭程序也能很好的運行，什麼的..
另外，我之調試的時候，實際經過很多挫折...沒有足夠的經驗嘛...不過些文章，截圖的時候都很順利..呵呵.共勉........

2. 都有哪些壓縮軟體，那個最最好對硬體有要求嗎

上萬種
給你簡單的寫一些好了，目前rar是主流工具，但壓縮比例不是最大的。
WinRAR 3.60 Beta 3 英文版 2006-5-8 20:59:29 111857

流行好用的壓縮工具，支持滑鼠拖放及外殼擴展，完美支持ZIP檔案，內置程序可以解開CAB、ARJ、LZH、TAR、GZ、ACE、UUE、BZ2、JAR、ISO等多種類型的壓縮文件；具有估計壓縮功能，你可以在壓縮文件之前得到用ZIP和RAR兩種壓縮工具各三種壓縮方式下的大概壓縮率；具有歷史記錄和收藏夾功能；壓縮率相當高，而資源佔用相對較少、固定壓縮、多媒體壓縮和多卷自釋放壓縮是大多壓縮工具所不具備的；使用非常簡單方便，配置選項不多，僅在資源管理器中就可以完成你想做的工作；...
授權: 共享 大小: 1009KB 平台: Win9x/Me/NT/2000/XP

WinRAR 3.60 beta 2 簡體版 2006-5-4 19:54:48 137740

WINRAR是現在最好的壓縮工具，界面友好，使用方便，在壓縮率和速度方面都有很好的表現。其壓縮率比之WINZIP之流要高。RAR採用了比Zip更先進的壓縮演算法，是現在壓縮率較大、壓縮速度較快的格式之一。主要特點：對RAR和ZIP的完全支持；支持ARJ、CAB、LZH、ACE、TAR、GZ、UUE、BZ2、JAR、ISO類型文件的解壓；多卷壓縮功能；創建自釋放文件，可以製作簡單的安裝程序，使用方便；強大的檔案文件修復功能，最大限度恢復損壞的rar和zip壓縮文件中的數據...
授權: 共享 大小: 1038KB 平台: Win9x/Me/NT/2000/XP

Zip Express 2.4c 2006-5-3 16:58:20 7167

讓你實行多種壓縮文件格式，管理Zip及CAB文件，利用滑鼠拖曳方式，將文件復制或搬移到想放的目錄，另外還支持觀看不同的文件格式，文本方面支持：MSWord，Excel，HTML，TXT及PDF，多媒體文件支持AVI，MOV，WAV，MID，MPEG及MP3，圖形方面支持BMP，GIF，DIB，AnimatedGIF，JPG，PPT及DWF等。 ...
授權: 共享 大小: 3503KB 平台: Win9x/Me/NT/2000/XP

PowerArchiver 2006 9.62 2006-5-2 20:56:16 16370

相當值得推薦的壓縮程序，除了一般壓縮與解壓縮的功能外，它並可設立密碼及分片壓縮功能，且支持滑鼠右鍵的快顯功能、可立即壓縮與解壓縮或製成自動解壓縮文件、功能比起WinZip、絲毫不遜色。支持ZIP、RAR、CAB、ARJ、LHA、ACE、ARC、TAR、GZ、ZOO、XXE、UUE等格式。...
授權: 共享 大小: 3619KB 平台: Win9x/Me/NT/2000/XP

7-Zip 4.40 Beta 2006-5-2 8:27:36 47144

7-Zip是一款號稱有著現今最高壓縮比的壓縮軟體，它不僅支持獨有的7z文件格式，而且還支持各種其它壓縮文件格式，其中包括ZIP,RAR,CAB,GZIP,BZIP2和TAR等等。此軟體壓縮的壓縮比要比普通ZIP文件高30-50%，因此，它可以把Zip格式的文件再壓縮2-10%。這是7-Zip多國語言版，支持簡繁體中文等。...
授權: 免費 大小: 818KB 平台: Win9x/Me/NT/2000/XP

UPX 2.0 漢化版 2006-5-1 17:26:10 7073

UPX是一款先進的可執行程序文件壓縮器壓縮過的可執行文件體積縮小50%-70% 這樣減少了磁碟佔用空間、網路上傳下載的時間和其它分布以及存儲費用。 通過UPX壓縮過的程序和程序庫完全沒有功能損失和壓縮之前一樣可正常地運行對於支持的大多數格式沒有運行時間或內存的不利後果。 UPX支持許多不同的可執行文件格式包含Windows95/98/ME/NT/2000/XP/CE程序和動態鏈接庫、DOS程序、 Linux可執行文件和核心。 up...
授權: 免費 大小: 436KB 平台: Win32

ExtractNow 4.1.6 漢化版 2006-5-1 10:26:13 14267

ExtractNow是一款免費的軟體，主要功能是支持各種壓縮包的解壓 支持：ZIP,RAR,ACE,JAR等格式的壓縮技術。 使用Extractnow，可以是解壓變的無比輕松，只需滑鼠的拖拽和點擊，立即得到完成的文件^_^ 增加了對7z和Ace的關聯，使用起來更是得心應手^_^...
授權: 免費 大小: 1387KB 平台: Win9x/Me/NT/2000/XP/2003

ExtractNow 4.16 2006-5-1 7:35:18 13211

是一個免費、快速和容易使用的解壓縮文件軟體，除了解壓縮文件，另有測試壓縮文件是否有CRC錯誤、觀看壓縮文件內的文件等功能。ExtractNow解壓縮文件的方式有點與眾不同，提供以拖放文件到ExtractNow界面的方式來解壓縮文件，除了解壓縮單一壓縮文件外，最大的特色是可以一次解開多個壓縮文件，只需設定好壓縮文件解壓縮後的存放路徑即可一次做好文件解壓縮，最重要的是支持英文長文件名和中文長文件名的壓縮文件(包括被壓縮的文件)，因此不用擔心解壓出亂碼文件，支持目前最常見的...
授權: 免費 大小: 831KB 平台: Win9x/Me/NT/2000/XP

WinHKI 1.68 2006-4-30 9:35:04 2610

WinHKI是支持BH、CAB、HKI、JAR、LHA、TAR、GZ文件的解壓縮工具。...
授權: 共享 大小: 1339KB 平台: Win9x/Me/NT/2000/XP/2003

ArjFolder 3.65 漢化版 2006-4-29 10:38:14 7005

可以讓你使用拖放的界面製作和解壓ARJ文件,支持長文件名,文件保護,ARJ、RAR、ACE的多卷壓縮.它還支持解壓ZIP,GZip,TAR,CAB&RAR文件。...
授權: 共享 大小: 540KB 平台: Win9x/Me/NT/2000/XP

UPX 2.00 for Linux 2006-4-29 10:06:46 1215

非常好的可執行文件壓縮軟體，支持的格式包括atari/tos，djgpp2/coff，dos/com，dos/exe，dos/sys，rtm32/pe，tmt/adam，watcom/le，win32/pe，Linux/i386等等，壓縮比率也非常的高。...
授權: 免費 大小: 254KB 平台: Linux

UPX 2.00 for Win 2006-4-29 10:05:17 6953

非常好的可執行文件壓縮軟體，支持的格式包括atari/tos，djgpp2/coff，dos/com，dos/exe，dos/sys，rtm32/pe，tmt/adam，watcom/le，win32/pe，Linux/i386等等，壓縮比率也非常的高。...
授權: 免費 大小: 245KB 平台: Win32

UPX 2.00 for DOS 2006-4-29 10:04:24 2354

非常好的可執行文件壓縮軟體，支持的格式包括atari/tos，djgpp2/coff，dos/com，dos/exe，dos/sys，rtm32/pe，tmt/adam，watcom/le，win32/pe，Linux/i386等等，壓縮比率也非常的高。...
授權: 免費 大小: 317 平台: DOS

KGB Archiver 1.2.0.23 2006-4-28 16:38:41 2250

KGB是一款具有難以置信的高壓縮比的免費壓縮工具，它超越了以高壓縮比著稱的7Zip和UHARC，尤其擅長多媒體文件和可執行文件的壓縮。需要注意的是雖然它的壓縮比超高，但是對硬體的要求也相應的比其它壓縮工具高，譯者推薦將此工具用於超大型文件的壓縮，即使連KGB本身一起提供給好友或者下載方，也才多一點點而已（KGB的壓縮與解壓模塊是分開的，各自獨立），相比待壓縮文件本身的大小仍是十分合算的。KGB支持256位的AES加密，眾所周知這是目前最強的加密演算法之一，因此兼作加密工...
授權: 共享 大小: 1047KB 平台: Win9x/Me/NT/2000/XP/2003

KGB Archiver 1.2.0.23 授權漢化版 2006-4-28 16:36:24 15553

KGB是一款具有難以置信的高壓縮比的免費壓縮工具，它超越了以高壓縮比著稱的7Zip和UHARC，尤其擅長多媒體文件和可執行文件的壓縮。需要注意的是雖然它的壓縮比超高，但是對硬體的要求也相應的比其它壓縮工具高，譯者推薦將此工具用於超大型文件的壓縮，即使連KGB本身一起提供給好友或者下載方，也才多一點點而已（KGB的壓縮與解壓模塊是分開的，各自獨立），相比待壓縮文件本身的大小仍是十分合算的。KGB支持256位的AES加密，眾所周知這是目前最強的加密演算法之一，因此兼作加密工...
授權: 免費 大小: 1745KB 平台: Win9x/Me/NT/2000/XP

QuickZip 4.60.015 Beta 2006-4-28 9:29:13 5825

一個壓縮軟體，支持拖放和滑鼠右鍵功能....
授權: 免費 大小: 4370KB 平台: Win9x/Me/NT/2000/XP

Squeez 5.20.4600 2006-4-24 8:24:36 1368

一款文件壓縮程序。支持以下11種壓縮格式：ACE,ARJ,BZIP,CAB,GZIP,LZH,RAR,SQX,TAR,UUEandZIP。可以把壓縮的文件作為一個新郵件的附件。它可以在壓縮的文件中加入文件恢復數據，從而減少文件通過存儲介質或者Internet傳輸時引起的損壞概率。同時可以把文件壓縮為SFX（自解壓）格式和其他人共享，從而可以在dos或者windows平台自動解壓縮。...
授權: 共享 大小: 3998KB 平台: Win9x/Me/NT/2000/XP

ZipStar 5.20 2006-4-24 8:20:10 2573

一款文件壓縮程序。支持以下3種壓縮格式：SQX,ZIPandCAB。同時可以把文件壓縮為SFX（自解壓）格式和其他人共享，從而可以在dos或者windows平台自動解壓縮。...
授權: 免費 大小: 4014KB 平台: Win9x/Me/NT/2000/XP

WinRAR 3.60 Beta 2 漢化美化版 2006-4-19 16:03:32 231276

WinRAR是強大的壓縮文件管理器。它提供了RAR和ZIP文件的完整支持，能解壓ARJ、CAB、LZH、ACE、TAR、GZ、UUE、BZ2、JAR、ISO格式文件。WinRAR的功能包括強力壓縮、分卷、加密、自解壓模塊、備份簡易。 ...
授權: 共享 大小: 1122KB 平台: Windows XP only

WinRAR 3.60 Beta 2 簡體中文版 2006-4-19 16:03:06 1680027

WinRAR是現在最好的壓縮工具，界面友好，使用方便，在壓縮率和速度方面都有很好的表現。其壓縮率比之WINZIP之流要高，3.40增加了對7-zip格式的支持。RAR採用了比Zip更先進的壓縮演算法，是現在壓縮率較大、壓縮速度較快的格式之一。主要特點：對RAR和ZIP的完全支持；支持ARJ、CAB、LZH、ACE、TAR、GZ、UUE、BZ2、JAR、ISO類型文件的解壓；多卷壓縮功能；創建自釋放文件，可以製作簡單的安裝程序，使用方便；強大的檔案文件修復功能，最大限...
授權: 共享 大小: 1006KB 平台: Win9x/Me/NT/2000/XP

WinRAR 3.60 beta 2 繁體版 2006-4-19 15:14:54 63050

流行好用的壓縮工具，支持滑鼠拖放及外殼擴展，完美支持ZIP檔案，內置程序可以解開CAB、ARJ、LZH、TAR、GZ、ACE、UUE、BZ2、JAR、ISO等多種類型的壓縮文件；具有估計壓縮功能，你可以在壓縮文件之前得到用ZIP和RAR兩種壓縮工具各三種壓縮方式下的大概壓縮率；具有歷史記錄和收藏夾功能；壓縮率相當高，而資源佔用相對較少、固定壓縮、多媒體壓縮和多卷自釋放壓縮是大多壓縮工具所不具備的；使用非常簡單方便，配置選項不多，僅在資源管理器中就可以完成你想做的工作；...
授權: 共享 大小: 1077KB 平台: Win9x/Me/NT/2000/XP

[銘揚]Access資料庫壓縮機 1.83 2006-4-17 16:49:14 6966

本軟體可以最大限度地壓縮Access資料庫文件，節省您的硬碟空間。...
授權: 免費 大小: 2610KB 平台: Win9x/Me/NT/2000/XP

下載地址

3. linux系統常用的軟體有什麼混水的不加分，哈哈

upx 加殼的東西
unrar 解RAR的
zsnes 超任模擬器
VisualBoyAdvance GBA模擬器
gens MD模擬器

aMule 電驢
Wireshark 分析網路用的
Putty SSH用的
FileZilla SFTP用的

DDD Debugger 編程用調試器
Eclipse IDE
Netbeans IDE

Emacs 高級文本編輯器
Vim 另外一個高級問本編輯器
KchmViewer 讀CHM的

Compiz 搞桌面效果的
AWN 仿蘋果下面的那個工具欄的

Audacious 類似WINAP

Frozen Bubble 游戲…

Wine 免費WINDOWS模擬器，強大
Crossover 收費WINDOWS模擬器，支持的東西有限，但支持的東西比WINE更強大

下面的全是WINDOWS下有的東西，只不過都有LINUX版，我都裝了。這些東西官方都有下載。
LinuxQQ 不用說了吧…7月31號才發布的
NeroLinux 刻盤的，3.5版
Opera 瀏覽器，9.52
Skype 不用說了吧，2.0.0.72
xdict 金山詞霸…居然有LINUX版…當初我發現它的時候嚇了一跳…你GOOGLE這個：xdict_1.0.3-2_i386
AdobeReader 讀pdf的8.1似乎
RealPlayer 不用說了吧… 似乎是11

這些是我裝好UBUNTU後必裝的…自己用的單子，原文復制借你用

所有官方的東西，你直接GOOGLE軟體名+"linux"就出來

我這不是抄的！給我分哪！！！