我买了加密与解密第二版的书,在做光盘里的UPX脱壳练习时可以做到,于是我就上网找了一个
加UPX壳的软件脱,找到了一个过期的外挂是加这种壳的.
软件:
http://free.ys168.com/?guli
先看我的脱壳过程看看有没有错,打开PEiD看看是另了什么壳
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
打开OD调试:
0047A6A0 > $ 60 pushad '这是壳的入口点.
0047A6A1 . BE 00C04400 mov esi, 0044C000
0047A6A6 . 8DBE 0050FBFF lea edi, dword ptr [esi+FFFB5000]
0047A6AC . 57 push edi
0047A6AD . 83CD FF or ebp, FFFFFFFF
0047A6B0 . EB 10 jmp short 0047A6C2
0047A6B2 90 nop
0047A6B3 90 nop
'----------------------------------------一直向下翻.
0047A845 . 58 pop eax
0047A846 . 61 popad
0047A847 . 8D4424 80 lea eax, dword ptr [esp-80]
0047A84B > 6A 00 push 0
0047A84D . 39C4 cmp esp, eax
0047A84F .^ 75 FA jnz short 0047A84B
0047A851 . 83EC 80 sub esp, -80
0047A854 .- E9 97E2FCFF jmp 00448AF0 '来到这里找到真正的OEP入口点.按F4再按F8
'--------------------------------------------------------跳到这里
00448AF0 6A 60 push 60 '程序的入口点.我用OD插件OllyDump脱了壳
00448AF2 68 A07F4500 push 00457FA0
00448AF7 E8 C0080000 call 004493BC
00448AFC BF 94000000 mov edi, 94
00448B01 8BC7 mov eax, edi
00448B03 E8 F8660000 call 0044F200
运行程序时出再现这样的错误
我以为是IAT表出错了.所以用ImportREC 1.6修复了一下还是不可以.
请个位大大帮看一下.看我错在哪里呢?
[课程]FART 脱壳王!加量不加价!FART作者讲授!