我是菜鸟
脱掉UPX壳后,启动程序一闪就没有了,用OllyDbg再打开提示:模块“XX”入口点超出代码范围(在PE文件头指定),可能这是一个自解压或自修改文件....。
请问该如何办?
用PEid 0.93察看,是Borland Delphi 4.0 - 5.0
EP区段没内容
打开首字节内容是:
0020E298: 55 PUSH EBP
0020E299: 8B EC MOV EBP,ESP
0020E29B: B9 06 00 00 00 MOV ECX,00000006
0020E2A0: 6A 00 PUSH 00
0020E2A2: 6A 00 PUSH 00
0020E2A4: 49 DEC ECX
0020E2A5: 75 F9 JNZ 0020E2A0
0020E2A7: 53 PUSH EBX
0020E2A8: 56 PUSH ESI
0020E2A9: B8 20 DD 20 00 MOV EAX,0020DD20
0020E2AE: E8 85 9E E0 FF CALL 00018138
0020E2B3: 8B 1D 2C 41 21 00 MOV EBX,[0021412C]
0020E2B9: 8B 35 D0 39 21 00 MOV ESI,[002139D0]
0020E2BF: 33 C0 XOR EAX,EAX
0020E2C1: 55 PUSH EBP
0020E2C2: 68 06 E9 20 00 PUSH 0020E906
0020E2C7: 64 FF 30 PUSH DWORD PTR FS:[EAX]
0020E2CA: 64 89 20 MOV FS:[EAX],ESP
0020E2CD: E8 76 F6 FF FF CALL 0020D948
0020E2D2: E8 31 E7 FF FF CALL 0020CA08
0020E2D7: E8 58 E8 FF FF CALL 0020CB34
0020E2DC: E8 7F E9 FF FF CALL 0020CC60
0020E2E1: E8 A6 EA FF FF CALL 0020CD8C
0020E2E6: E8 D9 EB FF FF CALL 0020CEC4
0020E2EB: E8 00 ED FF FF CALL 0020CFF0
0020E2F0: E8 27 EE FF FF CALL 0020D11C
0020E2F5: E8 32 EE FF FF CALL 0020D12C
0020E2FA: E8 3D EE FF FF CALL 0020D13C
0020E2FF: B8 01 00 00 00 MOV EAX,00000001
0020E304: E8 43 EE FF FF CALL 0020D14C
0020E309: 85 C0 TEST EAX,EAX
0020E30B: 74 07 JZ 0020E314
0020E30D: 8B 03 MOV EAX,[EBX]
0020E30F: E8 D0 87 E5 FF CALL 00066AE4
0020E314: B8 02 00 00 00 MOV EAX,00000002
0020E319: E8 2E EE FF FF CALL 0020D14C
0020E31E: 85 C0 TEST EAX,EAX
0020E320: 74 07 JZ 0020E329
0020E322: 8B 03 MOV EAX,[EBX]
0020E324: E8 BB 87 E5 FF CALL 00066AE4
0020E329: B8 03 00 00 00 MOV EAX,00000003
0020E32E: E8 19 EE FF FF CALL 0020D14C
0020E333: 85 C0 TEST EAX,EAX
0020E335: 74 07 JZ 0020E33E
0020E337: 8B 03 MOV EAX,[EBX]
0020E339: E8 A6 87 E5 FF CALL 00066AE4
0020E33E: B8 04 00 00 00 MOV EAX,00000004
0020E343: E8 04 EE FF FF CALL 0020D14C
0020E348: 85 C0 TEST EAX,EAX
0020E34A: 74 07 JZ 0020E353
0020E34C: 8B 03 MOV EAX,[EBX]
0020E34E: E8 91 87 E5 FF CALL 00066AE4
0020E353: B8 05 00 00 00 MOV EAX,00000005
0020E358: E8 EF ED FF FF CALL 0020D14C
0020E35D: 85 C0 TEST EAX,EAX
0020E35F: 74 07 JZ 0020E368
0020E361: 8B 03 MOV EAX,[EBX]
0020E363: E8 7C 87 E5 FF CALL 00066AE4
0020E368: B8 06 00 00 00 MOV EAX,00000006
0020E36D: E8 DA ED FF FF CALL 0020D14C
0020E372: 85 C0 TEST EAX,EAX
0020E374: 74 07 JZ 0020E37D
0020E376: 8B 03 MOV EAX,[EBX]
0020E378: E8 67 87 E5 FF CALL 00066AE4
0020E37D: B8 07 00 00 00 MOV EAX,00000007
0020E382: E8 C5 ED FF FF CALL 0020D14C
0020E387: 85 C0 TEST EAX,EAX
0020E389: 74 07 JZ 0020E392
0020E38B: 8B 03 MOV EAX,[EBX]
0020E38D: E8 52 87 E5 FF CALL 00066AE4
0020E392: B8 08 00 00 00 MOV EAX,00000008
0020E397: E8 B0 ED FF FF CALL 0020D14C
0020E39C: 85 C0 TEST EAX,EAX
0020E39E: 74 07 JZ 0020E3A7
0020E3A0: 8B 03 MOV EAX,[EBX]
0020E3A2: E8 3D 87 E5 FF CALL 00066AE4
0020E3A7: B8 09 00 00 00 MOV EAX,00000009
0020E3AC: E8 9B ED FF FF CALL 0020D14C
0020E3B1: 85 C0 TEST EAX,EAX
0020E3B3: 74 07 JZ 0020E3BC
0020E3B5: 8B 03 MOV EAX,[EBX]
0020E3B7: E8 28 87 E5 FF CALL 00066AE4
0020E3BC: 8B 03 MOV EAX,[EBX]
0020E3BE: E8 D5 85 E5 FF CALL 00066998
0020E3C3: 8D 55 EC LEA EDX,[EBP-14]
0020E3C6: 8B 03 MOV EAX,[EBX]
0020E3C8: E8 2B 8B E5 FF CALL 00066EF8
0020E3CD: 8B 45 EC MOV EAX,[EBP-14]
0020E3D0: 8D 55 F0 LEA EDX,[EBP-10]
0020E3D3: E8 F0 C6 E0 FF CALL 0001AAC8
0020E3D8: 8B 55 F0 MOV EDX,[EBP-10]
0020E3DB: A1 E0 3B 21 00 MOV EAX,[00213BE0]
0020E3E0: E8 FB 5B E0 FF CALL 00013FE0
0020E3E5: E8 52 A0 E0 FF CALL 0001843C
0020E3EA: 3D 00 00 00 80 CMP EAX,80000000
0020E3EF: A1 5C 43 21 00 MOV EAX,[0021435C]
0020E3F4: 0F 92 00 SETB BYTE PTR [EAX]
0020E3F7: 8D 55 E4 LEA EDX,[EBP-1C]
0020E3FA: 8B 03 MOV EAX,[EBX]
0020E3FC: E8 F7 8A E5 FF CALL 00066EF8
0020E401: 8B 45 E4 MOV EAX,[EBP-1C]
0020E404: 8D 55 E8 LEA EDX,[EBP-18]
0020E407: E8 BC C6 E0 FF CALL 0001AAC8
0020E40C: 8B 45 E8 MOV EAX,[EBP-18]
0020E40F: E8 DC C8 E0 FF CALL 0001ACF0
0020E414: 84 C0 TEST AL,AL
0020E416: 75 07 JNZ 0020E41F
0020E418: 8B 03 MOV EAX,[EBX]
0020E41A: E8 C5 86 E5 FF CALL 00066AE4
0020E41F: B2 01 MOV DL,01
0020E421: A1 0C B8 09 00 MOV EAX,[0009B80C]
0020E426: E8 6D D4 E8 FF CALL 0009B898
0020E42B: 8B 15 58 42 21 00 MOV EDX,[00214258]
0020E431: 89 02 MOV [EDX],EAX
0020E433: B2 01 MOV DL,01
0020E435: A1 9C BF 09 00 MOV EAX,[0009BF9C]
0020E43A: E8 F5 4C E0 FF CALL 00013134
0020E43F: 89 06 MOV [ESI],EAX
0020E441: 8B 06 MOV EAX,[ESI]
0020E443: E8 14 DE E8 FF CALL 0009C25C
0020E448: E8 87 84 FF FF CALL 002068D4
0020E44D: E8 32 61 FF FF CALL 00204584
0020E452: 8B 15 EC 39 21 00 MOV EDX,[002139EC]
0020E458: 3B 02 CMP EAX,[EDX]
0020E45A: 74 66 JZ 0020E4C2
0020E45C: B8 74 38 21 00 MOV EAX,00213874
0020E461: E8 76 5F E0 FF CALL 000143DC
0020E466: C6 40 0B 57 MOV BYTE PTR [EAX+0B],57
0020E46A: B8 74 38 21 00 MOV EAX,00213874
0020E46F: E8 68 5F E0 FF CALL 000143DC
0020E474: C6 40 0E 33 MOV BYTE PTR [EAX+0E],33
0020E478: B8 74 38 21 00 MOV EAX,00213874
0020E47D: E8 5A 5F E0 FF CALL 000143DC
0020E482: C6 40 0F 38 MOV BYTE PTR [EAX+0F],38
0020E486: B8 74 38 21 00 MOV EAX,00213874
0020E48B: E8 4C 5F E0 FF CALL 000143DC
0020E490: C6 40 10 36 MOV BYTE PTR [EAX+10],36
0020E494: A1 74 38 21 00 MOV EAX,[00213874]
请大虾帮忙分析一下,再一次谢谢!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法