-
-
[求助]脱UPX壳,经典变成不经典 <<有图>>
-
发表于: 2007-2-21 13:47
-
使用工具:
查壳工具 PEiD0.94 中文版
调试工具 flyODBG 中文版
查壳: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
OD载入
用内存镜像法进行脱壳,ALT+M打开内存
找到.rsrc,F2下断,F9运行
来到这里....
再次ALT+M打开内存,找到UPX0,F2下断,F9运行
来到这里
F8单步跟踪
跟踪到了这里,按照正常的脱壳步骤,再F8一下应该是到了这里进行正常脱壳
但是,我进行这步单步跟踪后却是到了这里
再一次F8后,程序自动运行..关闭程序后来到这里...
请问各位前辈,这是怎么回事,我应该怎样做呢........??
查壳工具 PEiD0.94 中文版
调试工具 flyODBG 中文版
查壳: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
OD载入
用内存镜像法进行脱壳,ALT+M打开内存
找到.rsrc,F2下断,F9运行
来到这里....
再次ALT+M打开内存,找到UPX0,F2下断,F9运行
来到这里
F8单步跟踪
跟踪到了这里,按照正常的脱壳步骤,再F8一下应该是到了这里进行正常脱壳
但是,我进行这步单步跟踪后却是到了这里
再一次F8后,程序自动运行..关闭程序后来到这里...
请问各位前辈,这是怎么回事,我应该怎样做呢........??
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
401000是OEP吧.
|
|
|
|
|
|
非常感谢版主回答了我的问题
我按照了您所说的做法去做,结果有所改变了..  可是不管我进行什么操作后,程序还是自动运行 根本无法进行脱壳.....请问我接下来该怎么做.. |
|
|
直接在00480A13下断(F2),F9中断后,F7,再按Ctrl+A分析。
插件脱壳即可! 
|
|
|
|
|
|
我脱UPX好几次都遇到这样的问题,你DUMP出来后运行看看,通常没问题的.
我也不清楚为什么会这个样子!估计是用了UPX的某种混淆器! 
|
|
|
|
|
|
用Olly载入F2断点F9,F8来到OEP(细节略去不表),用插件DUMP出来。启动ImportREC获取当前这个程序的输入表来修复转储的文件,“选项”里不要勾选‘用序号重建输入表’(否则API调用没有名字只有序号,难道有人更喜欢看序号?
 用《UPX脱壳机》里的UPX-iT脱壳更完美。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
