首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
求一个UPX的脱壳方法帮帮
发表于: 2007-1-19 12:20 4143

求一个UPX的脱壳方法帮帮

方天wwroot 活跃值
2007-1-19 12:20
4143
新手迷茫中
用PEID0.94查壳显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
用OD手脱壳后运行文件提示error:invalid data in the file
用WinHex修复后用PEID0.94查壳显示Microsoft Visual C++ 6.0[Overlay]
可以运行但是用别的工具打开后乱码,
下面是用OD载入时的入口点
00426030: 60                       PUSHAD
00426031: BE00904100               MOV ESI, 00419000
00426036: 8DBE0080FEFF             LEA EDI, [ESI-00018000]
0042603C: 57                       PUSH EDI
0042603D: 83CDFF                   OR EBP, FFFFFFFF
00426040: EB10                     JMP 426052
00426042: 90                       NOP
00426043: 90                       NOP
00426044: 90                       NOP
00426045: 90                       NOP
00426046: 90                       NOP
00426047: 90                       NOP
00426048: 8A06                     MOV AL, [ESI]
0042604A: 46                       INC ESI
0042604B: 8807                     MOV [EDI], AL
0042604D: 47                       INC EDI
0042604E: 01DB                     ADD EBX, EBX
00426050: 7507                     JNZ 426059
00426052: 8B1E                     MOV EBX, [ESI]
00426054: 83EEFC                   SUB ESI, FFFFFFFC
00426057: 11DB                     ADC EBX, EBX
00426059: 72ED                     JB 426048

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
fonge
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
2
一直往下翻看到一个jmp*****
后面是0000000000000000000的JMP

那个JMP跳向的就是OEP
dump就可以了

置顶贴看了再问这类问题吧

OK
2007-1-19 13:05
0
方天wwroot
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
看了有点不懂
后面是0000000000000000000的JMP在哪看?
我用ESP定律来到这里
004BEE59    .  57          push edi
004BEE5A    .  FFD5        call ebp
004BEE5C    .  58          pop eax
004BEE5D    .  61          popad
004BEE5E    .  8D4424 80   lea eax,dword ptr ss:[esp-80]
004BEE62    >  6A 00       push 0
004BEE64    .  39C4        cmp esp,eax
004BEE66    .^ 75 FA       jnz short CTT.004BEE62
004BEE68    .  83EC 80     sub esp,-80
004BEE6B    .- E9 C149F4FF jmp CTT.00403831
004BEE70       00          db 00
004BEE71       00          db 00
004BEE72       00          db 00

这里有个小循环,004BEE6B    .- E9 C149F4FF jmp CTT.00403831这里是不是指身OEP的?
2007-1-19 15:29
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
004BEE6B   jmp CTT.00403831
//应该是跳OEP了
2007-1-19 22:48
0
方天wwroot
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
脱壳后EP段显示UPX0
是不是还没有脱掉呀
是UPX1.9的壳
2007-1-20 10:17
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
6
区段名可以修改的
想完美就尽量用upx相同版本-d来自脱
2007-1-20 13:55
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//