首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
菜鸟请高手指点OD手脱UPX时出现的问题
发表于: 2004-8-8 00:02 4900

菜鸟请高手指点OD手脱UPX时出现的问题

hdy981 活跃值
2004-8-8 00:02
4900
某制作CHM的主程序,*.EXE
用PEid测为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
OD手动脱壳,载入后停在这里
0058AEA0 eTextW>  60                   pushad
0058AEA1          BE 15705100          mov esi,eTextWiz.00517015
0058AEA6          8DBE EB9FEEFF        lea edi,dword ptr ds:[esi+FFEE9FEB]

ctrl+F查找popad,到这里

0058B00B          61                   popad
0058B00C        - E9 DB61E7FF          jmp eTextWiz.004011EC
0058B011          0000                 add byte ptr ds:[eax],al
0058B013          0000                 add byte ptr ds:[eax],al
0058B015          0000                 add byte ptr ds:[eax],al
0058B017          0000                 add byte ptr ds:[eax],al

一般经过JMP跨段跳跃到入口处,可是我在
0058B00C        - E9 DB61E7FF          jmp eTextWiz.004011EC
F8后没能找到EBP,而是跳到这里
004011EC          68 30934000          push eTextWiz.00409330
004011F1          E8 F0FFFFFF          call eTextWiz.004011E6                  ; jmp to MSVBVM50.ThunRTMain
004011F6          0000                 add byte ptr ds:[eax],al
004011F8          40                   inc eax

按两次F8后OD就出现"访问违反"了,请问是怎么回事,应该怎样操作呢?谢谢:(

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 1
支持
分享
最新回复 (3)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
0058B00B          61                   popad
0058B00C        - E9 DB61E7FF          jmp eTextWiz.004011EC
//跳过去

004011EC          68 30934000          push eTextWiz.00409330
//典型的VB入口
004011F1          E8 F0FFFFFF          call eTextWiz.004011E6                  ; jmp to MSVBVM50.ThunRTMain

脱壳后不能运行或许是程序内置了Anti或者自校验
2004-8-8 00:08
0
hdy981
雪    币: 14
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢老大这么快回应,有谁再详细点指一条路走吗
2004-8-8 00:20
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
国华软件?
自校验
调试论坛有过讨论
记不清页面,你找找吧
2004-8-8 00:24
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码