刚学破解2个月,一网友今天传给我一个UPX 0.89.6 - 1.02 / 1.05 - 1.24的加壳程序,给我练练手
这是原程序
附件:awrdpr.rar
用OD载入
到入口点
006335F0 a> 60 pushad
006335F1 BE 00205C00 mov esi,awrdpr.005C2000
006335F6 8DBE 00F0E3FF lea edi,dword ptr ds:[esi+FFE3F000]
006335FC C787 9C1A2000 4>mov dword ptr ds:[edi+201A9C],87E8554B
00633606 57 push edi
00633607 83CD FF or ebp,FFFFFFFF
f8单步执行006335F0 a> 60 pushad
注意此时的ESP值
利用esp定律下断 hr 0012ffa4
直奔入口点
00401000 /EB 10 jmp short awrdpr.00401012
00401002 |66:623A bound di,dword ptr ds:[edx]
00401005 |43 inc ebx
00401006 |2B2B sub ebp,dword ptr ds:[ebx]
00401008 |48 dec eax
00401009 |4F dec edi
0040100A |4F dec edi
0040100B |4B dec ebx
0040100C |90 nop
0040100D -|E9 A8944B00 jmp 008BA4BA
00401012 \A1 9B944B00 mov eax,dword ptr ds:[4B949B]
凝问就在这里,我试过用lordPE和OD的脱壳插件这两种方法脱壳,得到的结果不一样
1.用OD的脱壳插件,选不修复输入表抓取,然后用lordPE重建抓取后的文件,脱壳 成功,运行正常
2,用lordPE抓取全部,再用importREC:设OEP为1000,修复抓取的文件IAT,再用lordPE重建,运行失败
这是怎么回事呀,哪位前辈能指点一下小弟心中的迷团呀
[课程]Linux pwn 探索篇!