-
-
[旧帖] [原创]Markus & Laszlo [Overlay] 脱壳方法和附加数据的处理 0.00雪花
-
2010-7-8 12:27
-
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay] 脱壳方法和附加数据的处理
一个视频,飓风加密的,这是第二次研究脱壳,来研究一下,首先用PEID查看一番:
如图,UPX Markus & Laszlo [Overlay] 加壳,带附加数据,用OD载入,有些OD载入会出现压缩代码提示,选否
单步
看见EPS变红了,用EPS定律,数据窗口中跟随
在下面设置断点
然后点三角符号运行,运行完切记删除断点,然后运行。
单步,这里有个向上跳转,看红色的向上箭头,鼠标点到下一行,F4.然后继续单步
这里就到OEP了
然后用OllyDump脱壳调试进程
脱壳
运行程序,可以看到播放框已经出来了,但是提示文件被破坏
再用PEID看下,壳已经脱掉了,但是 [Overlay] 也被脱掉了,就是说附加数据没了。
打开16位编辑器Winhex,载入没脱壳的原程序
拉到最后面直到找到最后的全是000000的起点。从起点一直复制到最末。
再打开脱壳的程序,拉到最后面,注意不要覆盖脱壳程序的00000000字节,程序要用的,在最尾端粘贴上。
保存,看看程序正常运行了,再用PEID看看
[Overlay]又回来了,打开程序。OK正常!到此脱壳结束.
注:此文仅供研究学习之用,首发于个人博客
一个视频,飓风加密的,这是第二次研究脱壳,来研究一下,首先用PEID查看一番:
如图,UPX Markus & Laszlo [Overlay] 加壳,带附加数据,用OD载入,有些OD载入会出现压缩代码提示,选否
单步
看见EPS变红了,用EPS定律,数据窗口中跟随
在下面设置断点
然后点三角符号运行,运行完切记删除断点,然后运行。
单步,这里有个向上跳转,看红色的向上箭头,鼠标点到下一行,F4.然后继续单步
这里就到OEP了
然后用OllyDump脱壳调试进程
脱壳
运行程序,可以看到播放框已经出来了,但是提示文件被破坏
再用PEID看下,壳已经脱掉了,但是 [Overlay] 也被脱掉了,就是说附加数据没了。
打开16位编辑器Winhex,载入没脱壳的原程序
拉到最后面直到找到最后的全是000000的起点。从起点一直复制到最末。
再打开脱壳的程序,拉到最后面,注意不要覆盖脱壳程序的00000000字节,程序要用的,在最尾端粘贴上。
保存,看看程序正常运行了,再用PEID看看
[Overlay]又回来了,打开程序。OK正常!到此脱壳结束.
注:此文仅供研究学习之用,首发于个人博客
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
