-
-
[求助]带自校验的UPX壳!请大家帮忙!
-
发表于:
2006-10-27 09:52
4577
-
UPX脱壳后无法运行!请大家帮忙!谢谢!
想给一个小程序脱壳,弄了一天也没结果。以下是我的步骤。
用PEiD V0.94查壳,显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
在Ollydbg里用单步跟踪或者ESP定律以及查找popad都能找到POPAD(在004592EB 61 POPAD按F4下断点再按F8单步来到0042ADE8 55 PUSH EBP),应该是这里了,脱壳!并复制修正后的入口地址2ADE8。
然后再用PEiD V0.94查,显示Microsoft Visual C++ 6.0!执行程序,报错!
用Import REConstructor v1.6修正,把刚才复制的入口地址2ADE8填在OEP后面,按自动搜索IAT,再按获取输入表,然后修复抓取文件。还是不行!运行程序报错!
然后重新运行Import REConstructor,按刚才的步骤,在修复文件前运行了自动追踪,不过修复文件后还是老样子,程序无法正常运行!
应该是有自校验!可惜太菜了搞不来!!
原文件及脱壳后的文件在这里
http://xmfqj.ys168.com恳请高手帮忙修复,并细说一下操作步骤!非常感谢!
QQ:345206456
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
