能力值:
![]()
(RANK:1060 )
|
-
-
2 楼
0046C6AC 55 PUSH EBP
0046C6AD 8BEC MOV EBP, ESP
0046C6AF 83C4 F0 ADD ESP, -10
0046C6B2 B8 BCC44600 MOV EAX, 0046C4BC
0046C6B7 E8 1097F9FF CALL 00405DCC
0046C6BC A1 E8E14600 MOV EAX, [46E1E8]
0046C6C1 8B00 MOV EAX, [EAX]
0046C6C3 E8 9079FFFF CALL 00464058
0046C6C8 A1 E8E14600 MOV EAX, [46E1E8]
0046C6CD 8B00 MOV EAX, [EAX]
0046C6CF BA 0CC74600 MOV EDX, 0046C70C ; ASCII "UHARC GUI v2.0"
0046C6D4 E8 8F75FFFF CALL 00463C68
0046C6D9 8B0D E0E24600 MOV ECX, [46E2E0] ; UHARC_GU.0046FBE4
0046C6DF A1 E8E14600 MOV EAX, [46E1E8]
0046C6E4 8B00 MOV EAX, [EAX]
0046C6E6 8B15 2C574600 MOV EDX, [46572C] ; UHARC_GU.00465778
0046C6EC E8 7F79FFFF CALL 00464070
0046C6F1 A1 E8E14600 MOV EAX, [46E1E8]
0046C6F6 8B00 MOV EAX, [EAX]
0046C6F8 E8 F379FFFF CALL 004640F0
0046C6FD E8 BE77F9FF CALL 00403EC0
:D
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
有没有工具可以脱呀
|
能力值:
![]()
(RANK:1060 )
|
-
-
4 楼
upx -d
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
教你手工脱法
以OD载入,首先停在
00501220 > 60 PUSHAD ----标准的upx壳入口标志
00501221 BE 00E04C00 MOV ESI,UHARC_GU.004CE000
00501226 8DBE 0030F3FF LEA EDI,DWORD PTR DS:[ESI+FFF33000]
0050122C 57 PUSH EDI
0050122D 83CD FF OR EBP,FFFFFFFF
00501230 EB 10 JMP SHORT UHARC_GU.00501242
首先在键盘敲 ctrl+f 输入“popad”,按“查找”后,程序跳到:
00501382 61 POPAD ----按 f4,再按 f8
00501383 - E9 24B3F6FF JMP UHARC_GU.0046C6AC ---按 f8 跳向OEP
00501388 A0 135000B0 MOV AL,BYTE PTR DS:[B0005013]
0050138D 1350 00 ADC EDX,DWORD PTR DS:[EAX]
00501390 9C PUSHFD
00501391 D046 00 ROL BYTE PTR DS:[ESI],1
程序来到这里:
0046C6AC 55 PUSH EBP ---还楞什麽?这就是OEP,DUMP它,并记下6C6AC
0046C6AD 8BEC MOV EBP,ESP
0046C6AF 83C4 F0 ADD ESP,-10
0046C6B2 B8 BCC44600 MOV EAX,UHARC_GU.0046C4BC
0046C6B7 E8 1097F9FF CALL UHARC_GU.00405DCC
0046C6BC A1 E8E14600 MOV EAX,DWORD PTR DS:[46E1E8]
至此 DUMP 出的程序是脱壳的第一步,下面要修复它的输入表。
启动ImportREC1.6,在oep栏中输入“6C6AC",按“自动搜索IAT”键后,按“获取输入表”键,
可获的若干个“yes”指针,修复你DUMP出的程序,就“OK”了!。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
谢谢
|
|
|
|
