昨天脱壳,脱的是一个upx壳本以为是一个很简单的东西~,就没有当回事情~
但是脱壳以后就不能使用了痛苦~

还好经过两天的挣扎终于问题解决了~
[code]

这是没有脱壳前的代码~

00404B5C    55              PUSH EBP
00404B5D    8BEC            MOV EBP,ESP
00404B5F    B9 07000000     MOV ECX,7
00404B64    6A 00           PUSH 0
00404B66    6A 00           PUSH 0
00404B68    49              DEC ECX
00404B69  ^ 75 F9           JNZ SHORT mm.00404B64
00404B6B    53              PUSH EBX
00404B6C    56              PUSH ESI
00404B6D    57              PUSH EDI
00404B6E    B8 1C4B4000     MOV EAX,mm.00404B1C
00404B73    E8 34F3FFFF     CALL mm.00403EAC
00404B78    33C0            XOR EAX,EAX
00404B7A    55              PUSH EBP
00404B7B    68 D14D4000     PUSH mm.00404DD1
00404B80    64:FF30         PUSH DWORD PTR FS:[EAX]
00404B83    64:8920         MOV DWORD PTR FS:[EAX],ESP
00404B86    E8 BDF8FFFF     CALL mm.00404448
00404B8B    3C 01           CMP AL,1
00404B8D    0F85 E7010000   JNZ mm.00404D7A

经过多次跟踪:
每次在调试的时候,在脱壳的程序里在00404B8D处,程序是执行跳转的~
而在原程序中,这个地方是顺序执行的~

清楚这个以后,就把00404B86处代码修改成mov eax,1
果然,不出所料~程序真的可以顺序执行并且没有出任何错误~
顺利完成任务~

自己真不知道,对于upx还有这种加密方式? 真不知道这算不算也是一种加密方式呢~
呵呵呵~
这是我对于upx壳,算是一点点心得吧~
如果有什么不对的地方~
大家提意见呀~

有共同爱好的朋友~不管是菜鸟还是老鸟~
愿和你们成为朋友~一起成长呀~呵呵~

msn:chinatme@163.com
popo:chinatme@163.com
qq:723747753

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课