|
UPX脱壳的学习~~~~本人菜鸟 经高手指点后 依然很菜 哈哈
补充一下。。。 我是用虚拟机里的XP系统环境进行的脱壳处理。。 在win7下,试了好几遍都不行。。不知道为什么。。而且每次重新调试时,esp里的值都会变。。 |
|
UPX脱壳的学习~~~~本人菜鸟 经高手指点后 依然很菜 哈哈
菜鸟表示。。你很菜啊。。 用ESP方法: 1.将qqnmtf.exe载入到OD, 然后在OD界面的下方“命令栏”里输入“hr 0012FFA4”,不含引号。输入完成后,按一下回车键; 2.然后按F9键,这时执行情况如下: 005339C7 61 POPAD 005339C8 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80] //现在命令执行到这里。。。 005339CC 6A 00 PUSH 0 005339CE 39C4 CMP ESP,EAX 005339D0 ^ 75 FA JNZ SHORT qqnmtf.005339CC 005339D2 83EC 80 SUB ESP,-80 005339D5 - E9 DF81F6FF JMP qqnmtf.0049BBB9 3.其中最后的一跳代码就是关键的一跳。执行到005339D5 后,按一下F8,就跳到了 你要找的EOP。。如下: 0049BBB9 E8 FE690000 CALL qqnmtf.004A25BC 0049BBBE ^ E9 79FEFFFF JMP qqnmtf.0049BA3C 0049BBC3 3B0D C0B84F00 CMP ECX,DWORD PTR DS:[4FB8C0] 0049BBC9 75 02 JNZ SHORT qqnmtf.0049BBCD 0049BBCB F3: PREFIX REP: 0049BBCC C3 RETN 4.然后将0049BBB9 Dump即可。。 可以了吗。。不行的话可以在和我讨论。。。 顺便和你说一下,这是我脱得第三个壳。。。 嘿嘿。。有成就感啊。。 |
|
[讨论]勘误1处
已在卓越网上定了,明天就到。看了之后也要登记勘误,:) |
|
[下载]随书代码
支持逆向相关的所有内容。希望大家能互相交流。 |
|
[求助]P49中间的“sub_401120+B↑j”,请问“B↑”是啥意思?
个人以为,在基址基础上加B个字节后,位置在上边。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值