[求助]upx3.94加壳后，运行程序后dump，确认生成的文件中有代码，x64dbg时oep位置为0000-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

CptPrice

2017-6-26 16:11

4240

自己试着玩的，win10 x64,64位程序upx3.94加壳，跑起来后 dump出来的文件，改了0x110位置的指，将其指向oep的起始地址

oep 011109处代码

确认是有代码的，x64dbg调试

oep处代码变成了0000，有没有大神能讲解下哪边有问题，或者为什么这样

收藏・0

免费・0

支持

最新回复 (1)
CptPrice 雪币： 80 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 25 粉丝 0 关注私信	CptPrice 2 楼找到了原因，在调整section_header表时没有调整sizeofRawData,upx0节的sizeofRawData是0,从这表现上来看，似乎是section中超出sizeofRawData的内存会被清0. 2017-6-27 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CptPrice

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
CptPrice 雪币： 80 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 25 粉丝 0 关注私信	CptPrice 2 楼找到了原因，在调整section_header表时没有调整sizeofRawData,upx0节的sizeofRawData是0,从这表现上来看，似乎是section中超出sizeofRawData的内存会被清0. 2017-6-27 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复