大家好,又见面了,我是你们的朋友全栈君。
一、静态方法
upx -d
有时候可能会失败,需要切换使用正确的UPX版本。Windows下内置对各UPX版本的第三方图形化界面UPXShell工具,可以方便的切换版本,通过go按钮,可以切换upx加壳版本与脱壳版本
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/73b675a7-43e2-428f-9c93-52fc397937f2202207125f9ff62b-bd4d-4963-9ba4-04fa4861ec0e1.jpg)
![upx脱壳日记[通俗易懂]](http://javaforall.cn/synimg/56b12094-9a0b-4b9a-bf38-ee1e7280341320220712724bb94b-069b-42d5-b020-190491ccf7111.jpg)
二、动态方法(手脱)
虽然UPX本身可以脱壳,但是UPX是基于加壳后可执行文件内存储的标识来查找并操作的,由于UPX是开源的,软件保护者可以随意修改这些标识,从而导致官方标准版本的UPX脱壳失败。因为UPX中可以改动的地方太多,所以人们在这种情况下一般采用动态脱壳
x86的汇编指令pushad可以轻松将所有寄存器一次性压入栈,UPX使用了这样的方式,被形象的称为“保护现场”,所以将这里的下一步执行后,在esp下硬件读取断点,再次调用就是esp返回的时候,我们直接就可以回到原来的程序执行流
执行过程:
先F8到pushad的下一步,然后在寄存器那边右键ESP,”HW break [ESP]”下硬件断点
![upx脱壳日记[通俗易懂]](https://javaforall.cn/wp-content/plugins/wp-fastest-cache-premium/pro/images/blank.gif)
设置完成后,F9运行,再次中断到一个地址
实际上这是一个将栈空间向上清零0x80长度的循环,并不是程序真实代码,后面有一个向前的大跳转,从0x430638跳到0x404ddc,这样就跳到原程序的位置
单击这一按jmp指令,然后F4,使程序跳到此指令上执行,然后F8,此时看起来已经很正常了
然后对程序dump。在OD中选择“插件”-“OllyDump”-“脱壳正在调试的进程”,然后单击获取EIP作为OEP,再单击脱壳,保存后可完成脱壳
此时IDA中和程序执行都已正常
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/157967.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...