用peid 0.94 查的是 UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
但是脱的时候我用向前走和ESP定律走到壳出口点那里
0052E486 . 8903 MOV DWORD PTR DS:[EBX],EAX
0052E488 . 83C3 04 ADD EBX,4
0052E48B .^ EB D8 JMP SHORT jxjl.0052E465
0052E48D > FF96 48F81200 CALL DWORD PTR DS:[ESI+12F848]
0052E493 > 61 POPAD
0052E494 .- E9 672BEDFF JMP jxjl.00401000
这一部却没有用跳到程序入口点
跳到了
00401000 /EB 10 JMP SHORT jxjl.00401012
00401002 |66:623A BOUND DI,DWORD PTR DS:[EDX]
00401005 |43 INC EBX
00401006 |2B2B SUB EBP,DWORD PTR DS:[EBX]
00401008 |48 DEC EAX
00401009 |4F DEC EDI
0040100A |4F DEC EDI
0040100B |4B DEC EBX
0040100C |90 NOP
0040100D -|E9 F4A64D00 JMP 008DB706
00401012 \A1 E7A64D00 MOV EAX,DWORD PTR DS:[4DA6E7]
然后一直向下走,
00401012 A1 E7A64D00 MOV EAX,DWORD PTR DS:[4DA6E7]
00401017 C1E0 02 SHL EAX,2
0040101A A3 EBA64D00 MOV DWORD PTR DS:[4DA6EB],EAX
0040101F 52 PUSH EDX
00401020 6A 00 PUSH 0
00401022 E8 97850D00 CALL jxjl.004D95BE ; JMP 到 kernel32.GetModuleHandleA
00401027 8BD0 MOV EDX,EAX
00401029 E8 92790C00 CALL jxjl.004C89C0
0040102E 5A POP EDX
0040102F E8 F0780C00 CALL jxjl.004C8924
00401034 E8 C7790C00 CALL jxjl.004C8A00
00401039 6A 00 PUSH 0
0040103B E8 D4AA0C00 CALL jxjl.004CBB14
00401040 59 POP ECX
00401041 68 90A64D00 PUSH jxjl.004DA690
00401046 6A 00 PUSH 0
00401048 E8 71850D00 CALL jxjl.004D95BE ; JMP 到 kernel32.GetModuleHandleA
0040104D A3 EFA64D00 MOV DWORD PTR DS:[4DA6EF],EAX
00401052 6A 00 PUSH 0
00401054 - E9 9F360D00 JMP jxjl.004D46F8
00401059 E9 02AB0C00 JMP jxjl.004CBB60
到这部跳到了程序入口点(不知道是不是)
跳到了
004D46F8 55 PUSH EBP
这个是入口点吧
004D46F9 8BEC MOV EBP,ESP
004D46FB 83C4 F4 ADD ESP,-0C
004D46FE 53 PUSH EBX
004D46FF 56 PUSH ESI
004D4700 57 PUSH EDI
004D4701 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
004D4704 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10]
004D4707 83E0 01 AND EAX,1
但是脱出来以后PE查就是 什么也没发现,还有UPX的壳,我看教程,到了壳出口点那里就直接跳到程序入口点,但是这个怎么不是哦,是伪壳还是双壳,还是怎么回事,大家帮帮我
我QQ 405844 希望有兄弟可以加我QQ指导,感激不尽,回帖也可以了,谢谢大家了,流泪ING……
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
