大家好,又见面了,我是你们的朋友全栈君。
查壳
![upx 手动脱壳[通俗易懂]](http://javaforall.cn/synimg/4ab4f77f-62bf-4ace-9ff0-9a5917a4247920220630387b04ee-863e-42db-b07c-d04cdb6932c91.jpg)
UPX 0.89.6 – 1.02 / 1.05 – 2.90 (Delphi) stub -> Markus & Laszlo
upx这类压缩壳手动脱壳非常简单。
一、查找oep
way1:
首先在程序入口发现pushad指令,接下来可以直接查找指令popad
![upx 手动脱壳[通俗易懂]](http://javaforall.cn/synimg/9507d92b-5a16-4dab-897d-a9cc83e2ac08202206300631edea-33f7-4ff0-b356-e3cf590684931.jpg)
![upx 手动脱壳[通俗易懂]](https://javaforall.cn/wp-content/plugins/wp-fastest-cache-premium/pro/images/blank.gif)
在jmp指令处下断,运行。
jmp之后来到oep
way2:
当然可以在单步pushad后,转到esp的内存窗口,设置硬件断点,运行,找到jmp处。
运行后会在popad指令后停下
跟踪jmp将转到oep
在x64dbg下使用Scylla
删除掉失效函数。
最后
脱壳完成。
如果没有修复,直接运行程序可能会报错
修复IAT后程序便可以正常运行。[fix dump]
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/154298.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...