-
-
[原创]秒杀UPX脱壳机(高手略过)
-
发表于:
2007-6-29 21:13
9130
-
呵呵:)我乃菜鸟一个,如有失误的地方,各位请指正啊:)
UPX最基础的不说了,前辈们说烂了,我来说说怎么秒杀吧:)
首先在文件尾的JMP几行复制下来,改为JMP ******(见下面的步骤)
******你就往下面的DB 00一直找吧,找个近点的,大约从JMP下面10行左右就可以了
然后再开一个OD,运行到没修改过的JMP那行,记下EAX,ECX****(EIP?算了……)
好了,现在你就发挥自己的想象,把EAX,ECX……改得一团糟,但最后要把原来的EAX,ECX给恢复啊:)
然后再改过的最后一行加上JMP,JMP就是你原来的那个JMP,就是能到脱壳过的原程序里的那个
OK,现在该最开始的那个JMP到改过之间的代码,你就随便写吧,什么ROA AAA PUSHAD之类的就随便写了,注意别覆盖下面的就行了
右键--》复制到可执行文件--》全部复制--》右上角小X——》确定--》保存(到另一个)文件
OK,再试试倒霉的脱壳机吧,郁闷死他!!
(UPX测试过的不能脱的脱壳机: UPX原版 UPX OD脚本 COOLDUMPER0。9 UPXSHELL)
说白了,就是自己DIY 一下PE文件而已
请教高手:为什么我不能在反编译里输入 ASCII "123",0 这类的?一写就“操作数不够”或“无法识别命令”
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
