首先声明
    一.我是菜菜.
      二.我自己琢磨出来的.（也许大家都知道了）
脱壳目标，Kanal.exe.UPXShit 0.05 -> snaker
1.用OD载入，隐藏OD。
004067DC > $  B8 C2674000   MOV     EAX, 004067C2
004067E1   .  B9 1A000000   MOV     ECX, 1A
004067E6   >  83F9 00       CMP     ECX, 0
004067E9   .  7E 06         JLE     SHORT 004067F1
004067EB   .  8030 FF       XOR     BYTE PTR DS:[EAX], 0FF
004067EE   .  40            INC     EAX
004067EF   .^ E2 F5         LOOPD   SHORT 004067E6
004067F1   >^ E9 CCFFFFFF   JMP     004067C2
004067F6      00            DB      00
004067F7      00            DB      00
004067F8      00            DB      00
004067F9      00            DB      00
004067FA      00            DB      00
004067FB      00            DB      00
004067FC      00            DB      00
004067FD      00            DB      00
004067FE      00            DB      00
004067FF      00            DB      00

2.bp LoadLibraryA （感谢大牛写的《关于脱壳的三个重要API函数》） f9运行，中断后去处断点。单步走到RETN。

7C801D77 >- E9 044FBB83     JMP     003B6C80
7C801D7C    837D 08 00      CMP     DWORD PTR SS:[EBP+8], 0
7C801D80    53              PUSH    EBX
7C801D81    56              PUSH    ESI
7C801D82    74 14           JE      SHORT 7C801D98
7C801D84    68 C0E0807C     PUSH    7C80E0C0                         ; ASCII "twain_32.dll"
7C801D89    FF75 08         PUSH    DWORD PTR SS:[EBP+8]
7C801D8C    FF15 9C13807C   CALL    DWORD PTR DS:[<&ntdll._strcmpi>] ; ntdll._stricmp
7C801D92    85C0            TEST    EAX, EAX

3.到了这里。

00406748      95            DB      95
00406749      8A            DB      8A
0040674A      07            DB      07
0040674B      47            DB      47                               ;  CHAR 'G'
0040674C      08            DB      08
0040674D      C0            DB      C0
0040674E      74            DB      74                               ;  CHAR 't'
0040674F      DC            DB      DC

4.右健 清除分析。

00406748    95              XCHG    EAX, EBP
00406749    8A07            MOV     AL, BYTE PTR DS:[EDI]
0040674B    47              INC     EDI
0040674C    08C0            OR      AL, AL
0040674E  ^ 74 DC           JE      SHORT 0040672C
00406750    89F9            MOV     ECX, EDI
00406752    57              PUSH    EDI
00406753    48              DEC     EAX
00406754    F2:AE           REPNE   SCAS BYTE PTR ES:[EDI]
00406756    55              PUSH    EBP
00406757    FF96 28650000   CALL    DWORD PTR DS:[ESI+6528]
0040675D    09C0            OR      EAX, EAX
0040675F    74 07           JE      SHORT 00406768
00406761    8903            MOV     DWORD PTR DS:[EBX], EAX
00406763    83C3 04         ADD     EBX, 4
00406766  ^ EB E1           JMP     SHORT 00406749
00406768    FF96 2C650000   CALL    DWORD PTR DS:[ESI+652C]
0040676E    61              POPAD
0040676F  - E9 52C9FFFF     JMP     004030C6

5.到0040676E这里下F2断点，F9运行。很好的断下。

0040676E    61              POPAD
0040676F  - E9 52C9FFFF     JMP     004030C6

6.单步就跳到OEP。

  后记，用ImportREC，不能修复(peeler,就可以修复)LORDPE 脱出来的镜像。用OD插件脱壳可直接运行。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• kanal.rar （6.46kb，20次下载）