-
-
[求助]新手发问!为什么dump后的文件还是显示加壳的?
-
发表于: 2006-10-29 00:50
-
今晚看"原创】关于一般加壳软件的手工脱壳",突然有感,决定找一个试试。
就拿"【2.25更新】脱壳基础知识入门(2006年版)"里面的notepad.upx.exe试试。
用OD打开,找到OEP处
0040EA0E 61 popad
0040EA0F - E9 B826FFFF jmp notepad_.004010CC
按F4执行到
0040EA0F - E9 B826FFFF jmp notepad_.004010CC
这时按第一篇文章里说的dump(因为第二篇找到OEP后居然没有介绍如何dump!),用的是OD的插件OllyDump,结果出来的界面我都不知道是不是要做什么特别的设置,不懂啊,就随便按了“脱壳之”按钮,存为dump.exe。
运行了一下,嗯,能正常运行。
但奇怪的事发生了。
我用PEiD再查一下时,居然显示仍是加壳的。难道脱壳失败了吗?(本来显示是UPX加壳的)
请大家帮帮忙,解释一下吧。新手起步时最不容易啊。
就拿"【2.25更新】脱壳基础知识入门(2006年版)"里面的notepad.upx.exe试试。
用OD打开,找到OEP处
0040EA0E 61 popad
0040EA0F - E9 B826FFFF jmp notepad_.004010CC
按F4执行到
0040EA0F - E9 B826FFFF jmp notepad_.004010CC
这时按第一篇文章里说的dump(因为第二篇找到OEP后居然没有介绍如何dump!),用的是OD的插件OllyDump,结果出来的界面我都不知道是不是要做什么特别的设置,不懂啊,就随便按了“脱壳之”按钮,存为dump.exe。
运行了一下,嗯,能正常运行。
但奇怪的事发生了。
我用PEiD再查一下时,居然显示仍是加壳的。难道脱壳失败了吗?(本来显示是UPX加壳的)
请大家帮帮忙,解释一下吧。新手起步时最不容易啊。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
