兄弟们好今天给大家来干UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stub - Markus & Laszlo的壳
希望对大家有点帮助,做试验的工具是Domain3.5 有名的入侵辅助工具
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 没错就是它
这个壳很好脱
来看示范 点否!
记住F8单步向下 F4断点
先向下 有一点大家一定要记得 脱壳一定要让程序向下走不能回跳
00640FC0 8A06 MOV AL,BYTE PTR DS:[ESI]
00640FC2 46 INC ESI
00640FC3 8807 MOV BYTE PTR DS:[EDI],AL
00640FC5 47 INC EDI
00640FC6 01DB ADD EBX,EBX
00640FC8 75 07 JNZ SHORT Domain3_.00640FD1
00640FCA 8B1E MOV EBX,DWORD PTR DS:[ESI]
00640FCC 83EE FC SUB ESI,-4
00640FCF 11DB ADC EBX,EBX
00640FD1 ^ 72 ED JB SHORT Domain3_.00640FC0
00640FD3 B8 01000000 MOV EAX,1<----------断点F4
00641069 8A02 MOV AL,BYTE PTR DS:[EDX]
0064106B 42 INC EDX
0064106C 8807 MOV BYTE PTR DS:[EDI],AL
0064106E 47 INC EDI
0064106F 49 DEC ECX
00641070 ^ 75 F7 JNZ SHORT Domain3_.00641069
00641072 ^ E9 4FFFFFFF JMP Domain3_.00640FC6
00641077 90 NOP
看见没两个回跳
00641077 90 NOP不能断如果断的话程序就会回跳 脱出来的也没用
00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]<----------在这里断F4
00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]
0064107A 83C2 04 ADD EDX,4
0064107D 8907 MOV DWORD PTR DS:[EDI],EAX
0064107F 83C7 04 ADD EDI,4
00641082 83E9 04 SUB ECX,4
00641085 ^ 77 F1 JA SHORT Domain3_.00641078
00641087 01CF ADD EDI,ECX<----------在这里断F4
00641089 ^\E9 38FFFFFF JMP Domain3_.00640FC6
0064108E 5E POP ESI<----------在这里断F4
0064109D ^\77 F7 JA SHORT Domain3_.00641096
0064109F 803F 19 CMP BYTE PTR DS:[EDI],19<----------在这里断F4
006410A2 ^\75 F2 JNZ SHORT Domain3_.00641096
006410A4 8B07 MOV EAX,DWORD PTR DS:[EDI]<----------在这里断F4
006410C0 ^\E2 D9 LOOPD SHORT Domain3_.0064109B
006410C2 8DBE 00C02300 LEA EDI,DWORD PTR DS:[ESI+23C000]<----------在这里断F4
006410C8 8B07 MOV EAX,DWORD PTR DS:[EDI]
006410CA 09C0 OR EAX,EAX
006410CC 74 3C JE SHORT Domain3_.0064110A
006410CE 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]
006410D1 8D8430 50652400 LEA EAX,DWORD PTR DS:[EAX+ESI+246550]
006410D8 01F3 ADD EBX,ESI
006410DA 50 PUSH EAX
006410DB 83C7 08 ADD EDI,8
006410DE FF96 40662400 CALL DWORD PTR DS:[ESI+246640]
006410E4 95 XCHG EAX,EBP
006410E5 8A07 MOV AL,BYTE PTR DS:[EDI]
006410E7 47 INC EDI
006410E8 08C0 OR AL,AL
006410EA ^ 74 DC JE SHORT Domain3_.006410C8
注意:这里的向会跳是灰色的线的意思是跳转没实现所以就不用去断它
继续F8
注意:CALL 不能断
00641102 ^\EB E1 JMP SHORT Domain3_.006410E5
00641104 FF96 48662400 CALL DWORD PTR DS:[ESI+246648]
到0064110A 61 POPAD<----------在这里断F4
到这里脱壳就结束了,大家可以去查一下壳,验证一下自己的杰作~~如果是按照上面说的做,就没什么问题哒
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课