首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]请教这个修改版的upx加密的小程序应该如何脱壳?
2022-7-13 21:33 4940

[求助]请教这个修改版的upx加密的小程序应该如何脱壳?

鬼来啦 活跃值
2022-7-13 21:33
4940

使用exeinfope查壳:
UPX 0.89 - 3.xx -> Markus & Laszlo ver. [ d  ] <- from file. [ ! Modified ! ] ( sign like UPX packer )
die:
打包工具: UPX(-)[modified]

 

尝试使用最新的upx解压:
upx: D:\modfied-upx-protect.exe: CantUnpackException: file is possibly modified/hacked/protected; take care!

 

然后尝试手动脱壳,学着《加密与解密》第四版上面的esp(pushad/popad)技巧,发现一个可疑的位置:
图片描述
图片描述
接着使用Scylla进行dump,IAT扫描也挺顺利的,但是运行却不正常。所以我怀疑可能有没考虑到的地方:比如说:1.OEP不正确 2.还有其它加密手段。
作为新人,到此时有点无力了,因此请教各位前辈帮忙分析一下,还有什么没考虑到的地方么,感谢。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-7-14 14:58 被鬼来啦编辑 ,原因:
上传的附件:
收藏
点赞0
打赏
分享
最新回复 (2)
zenix
雪    币: 2288
活跃值: (1187)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
zenix 1 2022-7-14 11:56
2
0
1. OEP 正确。 外面的 UPX 脱壳之后,进来的 OEP没错。
2. 看到里面还有 VMP
3. 里面还有不雅的中文,可能是作者在骂破解者吧?
4. 这是收费的软件,考虑到论坛的规定,我们点到为止。
5. 我很菜,不要找我。
鬼来啦
雪    币: 403
活跃值: (181)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
鬼来啦 2022-7-14 14:32
3
0
zenix 1. OEP 正确。 外面的 UPX 脱壳之后,进来的 OEP没错。 2. 看到里面还有 VMP 3. 里面还有不雅的中文,可能是作者在骂破解者吧? 4. 这是收费的软件,考虑到论坛的规定,我们 ...

感谢。我只是想知道我找oep的方法对不对,其它就不重要了。我换个程序继续学习去。感谢你了。

最后于 2022-7-14 14:58 被鬼来啦编辑 ,原因:
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回