刚学破解2个月,一网友今天传给我一个UPX 0.89.6 - 1.02 / 1.05 - 1.24的加壳程序,给我练练手
这是原程序附件:awrdpr.rar
用OD载入
到入口点
006335F0 a>  60              pushad
006335F1     BE 00205C00     mov esi,awrdpr.005C2000
006335F6     8DBE 00F0E3FF   lea edi,dword ptr ds:[esi+FFE3F000]
006335FC     C787 9C1A2000 4>mov dword ptr ds:[edi+201A9C],87E8554B
00633606     57              push edi
00633607     83CD FF         or ebp,FFFFFFFF

f8单步执行006335F0 a>  60              pushad
注意此时的ESP值
利用esp定律下断 hr 0012ffa4

直奔入口点
00401000    /EB 10           jmp short awrdpr.00401012
00401002    |66:623A         bound di,dword ptr ds:[edx]
00401005    |43              inc ebx
00401006    |2B2B            sub ebp,dword ptr ds:[ebx]
00401008    |48              dec eax
00401009    |4F              dec edi
0040100A    |4F              dec edi
0040100B    |4B              dec ebx
0040100C    |90              nop
0040100D   -|E9 A8944B00     jmp 008BA4BA
00401012    \A1 9B944B00     mov eax,dword ptr ds:[4B949B]

凝问就在这里,我试过用lordPE和OD的脱壳插件这两种方法脱壳,得到的结果不一样

1.用OD的脱壳插件,选不修复输入表抓取,然后用lordPE重建抓取后的文件,脱壳 成功,运行正常

2,用lordPE抓取全部,再用importREC:设OEP为1000,修复抓取的文件IAT,再用lordPE重建,运行失败

这是怎么回事呀,哪位前辈能指点一下小弟心中的迷团呀

[课程]Linux pwn 探索篇！