[求助]为什么到这里就运行了？-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]为什么到这里就运行了？

发表于: 2007-9-5 12:28 3729

[求助]为什么到这里就运行了？

qiujz

2007-9-5 12:28

3729

0046ACBB 49 DEC ECX
0046ACBC ^ 75 F7 JNZ SHORT ex1.0046ACB5 注意，往回跳。
0046ACBE ^ E9 63FFFFFF JMP ex1.0046AC26 这里也往回跳。
0046ACC3 90 NOP
0046ACC4 8B02 MOV EAX,DWORD PTR DS:[EDX] 呵，在这里点一下，F4到这里。
0046ACC6 83C2 04 ADD EDX,4

手脱了一个简单的UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo壳，可是有一点没明白，到0046ACC3 90 NOP这里时，继续单步跟进就运行了，如果忽略就没事？
望大虾指点迷津，
经验总结：
UPX脱壳断点
bp LoadLibraryA
bp GetProcAddress
UPX加壳入口第一句是PUSHAD
出口关键字
POPAD

一般经过JMP跨段跳跃到入口处.

附上壳文件：
http://www.live-share.com/files/263956/upx.exe.html

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
qiujz 雪币： 215 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	qiujz 2 楼学解密第三天了，望高人指点。谢谢 2007-9-5 12:30 0
ikandu 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	ikandu 3 楼路过，不懂。。。 2007-9-5 20:59 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 4 楼拖UPX，一般在POPAD下断点，直接F9过去，F7几下就到OEP了 2007-9-5 21:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qiujz

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
qiujz 雪币： 215 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	qiujz 2 楼学解密第三天了，望高人指点。谢谢 2007-9-5 12:30 0
ikandu 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	ikandu 3 楼路过，不懂。。。 2007-9-5 20:59 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 4 楼拖UPX，一般在POPAD下断点，直接F9过去，F7几下就到OEP了 2007-9-5 21:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复