码迷,mamicode.com
首页 > 其他好文 > 详细

upx 手动脱壳

时间:2020-01-26 23:57:08      阅读:39      评论:0      收藏:0      [点我收藏+]

标签:删除   href   jmp   upx   Stub   断点   iat   完成   设置   

查壳

技术图片

 

 UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo

upx这类压缩壳手动脱壳非常简单。

一、查找oep

二、dump、修复IAT

 

  • 一、查找oep

way1:

首先在程序入口发现pushad指令,接下来可以直接查找指令popad

技术图片

 

技术图片

 

 技术图片

 

 在jmp指令处下断,运行。

jmp之后来到oep

 

技术图片

 

技术图片

 

 


 

way2:

当然可以在单步pushad后,转到esp的内存窗口,设置硬件断点,运行,找到jmp处。

技术图片

 

 

技术图片

 

 运行后会在popad指令后停下

技术图片

 

 跟踪jmp将转到oep

 


 

  • 二、dump、fix dump

 在x64dbg下使用Scylla

 

技术图片

 

删除掉失效函数。

技术图片

 

最后

技术图片

 

 脱壳完成。

技术图片

 

 如果没有修复,直接运行程序可能会报错

技术图片

修复IAT后程序便可以正常运行。[fix  dump]

 

upx 手动脱壳

标签:删除   href   jmp   upx   Stub   断点   iat   完成   设置   

原文地址:https://www.cnblogs.com/DirWang/p/12234943.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有 京ICP备13008772号-2
迷上了代码!