-
-
[求助]UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]
-
发表于:
2009-7-22 16:44
24560
-
[求助]UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]
查壳为
UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]
入口特征
PUSHAD
MOV ESI,1_exe.0041C000
LEA EDI,DWORD PTR DS:[ESI+FFFE5000]
PUSH EDI
OR EBP,FFFFFFFF
JMP SHORT 1_exe.0042CF02
NOP
NOP
NOP
NOP
NOP
ESP 定律 到
0042D05E 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
0042D062 6A 00 PUSH 0
0042D064 39C4 CMP ESP,EAX
0042D066 ^ 75 FA JNZ SHORT 1_exe.0042D062
0042D068 83EC 80 SUB ESP,-80
0042D06B - E9 588FFEFF JMP 1_exe.00415FC8 <------入口
F4到入口
00415FC8 55 PUSH EBP <------------入口点
00415FC9 8BEC MOV EBP,ESP
00415FCB B9 0E000000 MOV ECX,0E
00415FD0 6A 00 PUSH 0
00415FD2 6A 00 PUSH 0
00415FD4 49 DEC ECX
00415FD5 ^ 75 F9 JNZ SHORT 1_exe.00415FD0
00415FD7 51 PUSH ECX
OD自带的DUMP,OD会死掉。。
用工具 LOadPe 脱壳
UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 变这个了
这个是为什么?
若 再用OD载入这个脱过之后的文件,OD就不运行了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
