-
-
UPX 是否已经成功脱壳,我太菜不敢确认。
-
发表于:
2006-9-3 19:29
3476
-
脱壳之前 PEID 查
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
------------------------------------------------------------------
00454FB0 - FF25 DC864500 jmp [<&msvcr71.fseek>] ; MSVCR71.fseek
00454FB6 - FF25 10874500 jmp [<&msvcr71.strncmp>] ; MSVCR71.strncmp
00454FBC - FF25 14874500 jmp [<&msvcr71.strchr>] ; MSVCR71.strchr
00454FC2 - FF25 04874500 jmp [<&msvcr71.strncpy>] ; MSVCR71.strncpy
00454FC8 > 6A 74 push 74 // OEP 对吗?
00454FCA 68 A0414600 push 004641A0
00454FCF E8 E8040000 call 004554BC
00454FD4 33DB xor ebx, ebx
00454FD6 895D E0 mov [ebp-20], ebx
00454FD9 53 push ebx
00454FDA 8B3D DC804500 mov edi, [<&kernel32.GetModuleHandle>; kernel32.GetModuleHandleA
00454FE0 FFD7 call edi
00454FE2 66:8138 4D5A cmp word ptr [eax], 5A4D
00454FE7 75 1F jnz short 00455008
----------------------------------------------------------
脱壳之后 PEID 查
Microsoft Visual C++ 7.0 Method2
但是打开脱壳之后的文件好象还会警告什么大量的数据压缩。
程序运行(多线程),通过网络更新,运行关闭之后居然又变成脱壳之前了。
请帮我确认下是否已经是脱壳成功了?
[课程]Android-CTF解题方法汇总!