首页
社区
课程
招聘
[求助]为什么到这里就运行了?
发表于: 2007-9-5 12:28 3730

[求助]为什么到这里就运行了?

2007-9-5 12:28
3730
0046ACBB 49 DEC ECX
0046ACBC ^ 75 F7 JNZ SHORT ex1.0046ACB5 注意,往回跳。
0046ACBE ^ E9 63FFFFFF JMP ex1.0046AC26 这里也往回跳。
0046ACC3 90 NOP
0046ACC4 8B02 MOV EAX,DWORD PTR DS:[EDX] 呵,在这里点一下,F4到这里。
0046ACC6 83C2 04 ADD EDX,4

手脱了一个简单的UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo壳,可是有一点没明白,到0046ACC3 90 NOP这里时,继续单步跟进就运行了,如果忽略就没事?
望大虾指点迷津,
经验总结:
UPX脱壳断点
bp LoadLibraryA
bp GetProcAddress
UPX加壳入口第一句是PUSHAD
出口关键字
POPAD

一般经过JMP跨段跳跃到入口处.

附上壳文件:
http://www.live-share.com/files/263956/upx.exe.html

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 215
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
学解密第三天了,望高人指点。谢谢
2007-9-5 12:30
0
雪    币: 231
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
路过,不懂。。。
2007-9-5 20:59
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
4
拖UPX,一般在POPAD下断点,直接F9过去,F7几下就到OEP了
2007-9-5 21:15
0
游客
登录 | 注册 方可回帖
返回
//