今天又找了个软件来破密.在附件
壳用的是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
用OD载入
00533180 > $ 60 PUSHAD
00533181 . BE 00104F00 MOV ESI,Liquid_S.004F1000
00533186 . 8DBE 0000F1FF LEA EDI,DWORD PTR DS:[ESI+FFF10000]
0053318C . 57 PUSH EDI
0053318D . 83CD FF OR EBP,FFFFFFFF
00533190 . EB 10 JMP SHORT Liquid_S.005331A2
这时寄存器为:
EAX 00000000
ECX 00EDFFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFD3000
ESP 00EDFFC4
EBP 00EDFFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 00533180 Liquid_S.<模块入口点>
一路用F8,F4来到这里(具体方法为F8单步,遇到向上跳,F4跳过,遇到向下时,如果跳转成功就F8,不成功就回车后F4)
005332E2 > \61 POPAD
005332E3 .- E9 0821FBFF JMP Liquid_S.004E53F0;我猜是跳到OEP,F7跟进
来到这里
004E53F0 55 PUSH EBP
004E53F1 8BEC MOV EBP,ESP
004E53F3 83C4 F0 ADD ESP,-10
004E53F6 53 PUSH EBX
004E53F7 56 PUSH ESI
004E53F8 57 PUSH EDI
004E53F9 33C0 XOR EAX,EAX
004E53FB 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX
004E53FE B8 58524E00 MOV EAX,Liquid_S.004E5258
这里看寄存器为:
EAX 00000000
ECX 00EDFFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDF000
ESP 00EDFFC4
EBP 00EDFFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004E53F0 Liquid_S.004E53F0
照理来说是可以DUMP了,但用OD DUMP出来后一点就关,看来水平还不到家.只用脱壳机了.
下载看雪的File Scanner
FS -U 文件名
脱壳成功!
以为可以破密了,谁知道用OD载入后,运行,就一直提示SHIFT+F7F8F9跳过.无法正常调试
-----------------------------------------------------------------------------------------------
请教问题
1.怎样手脱这个程序的UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]?
2.为什么无法正常调试?
万分感谢!
[课程]FART 脱壳王!加量不加价!FART作者讲授!
