首页
社区
课程
招聘
[求助]第8章 压缩与脱壳2、UPX V1.01的壳--DUMP出来的文件不可执行?
发表于: 2009-4-7 16:45 4654

[求助]第8章 压缩与脱壳2、UPX V1.01的壳--DUMP出来的文件不可执行?

2009-4-7 16:45
4654
引用:
{
dump取内存中己脱壳的文件

0137:40ddf jmp 00401000
现在这一行,键入以下命令:
a eip (然后按回车)
jmp eip (然后按回车)
按下F5

这样将改变0137:40ddf行的代码. 你会注意到在键入"jmp eip"并按下回车后,40ddf的指令现在是一个jmp.这将有效地使程序"暂停"(有点类似TRW2000的suspend命令). 按下F5使你回到window。

运行ProcDump,在Task的列表中的第一个list上点击鼠标右键,然后选择"Refresh list". 在Task列表中找到notepad.exe,在它的上面点击鼠标右键. 然后,选中"Dump (Full)",给脱壳的程序起名存盘. 再在notepad.exe上点击鼠标右键,然后选中"Kill Task".
}

1.
DUMP出来的文件不可执行;
2:
->0137:40ddf jmp 00401000
a eip (然后按回车)
jmp eip (然后按回车)
按F5不会退回到WINDOWS,要按CTL+D
一定要这样修改了才DUMP吗?不这样修改不能DUMP吗?我试过,DUMP完都不能运行。

DUMP后的文件修正了入口地址。

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我个人的理解是,DUMP出来的是已解密过的代码,然后修改了入口就从新入口开始执行,不应该会错,但我这怎么还是不能运行。
2009-4-7 16:53
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
DUMP后的文件,SI的LOADER,不能中断到入口了,修改了CHA***为E0000020了。
2009-4-7 17:01
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
晕,还是不对啊,我把DUMP出来的文件,用WDASM打开,到入口,把指令改成JMP 新入口,不能运行~~~,所以说DUMP这个过程出错了,不知道哪出错了……
2009-4-7 17:20
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
没人回啊。。。。。。。。。。。
2009-4-7 17:43
0
游客
登录 | 注册 方可回帖
返回
//