码迷,mamicode.com
首页 > Windows程序 > 详细

手动脱WinUpack 壳实战--吾爱破解培训第一课选修作业六

时间:2015-07-15 11:18:38      阅读:225      评论:0      收藏:0      [点我收藏+]

标签:   winupack   脱壳   脱winupack 壳   手动脱壳   

作者:Fly2015

吾爱破解培训第一课选修作业第6个练习示例程序。不得不重复那句话,没见过这种壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些,特别是IAT表的修复问题上。

 

首先分别使用DIEExeinfo PE对该加壳程序进行查壳的处理。

技术分享

技术分享

OD载入加WinUpack 壳的程序进行动态调试分析,加壳程序入口点反汇编快照。

技术分享

想都不用想,看到PUSHAD直接ESP定律脱壳F8单步一步,ESP寄存器右键设置硬件写入断点。F9运行程序,程序自然的断在设置的硬件断点处,如图。

技术分享

有点惊呆了,硬件断点断下来的地方004739BCJMP指令的跳转地址0041DDAC就是原程序的真实OEPVAF7单步直接跟过去,熟悉的界面出现了。

技术分享

Ctrl+A分析地址0041DDAC处的内存数据,瞬间就豁然开朗了很多。

技术分享

OK,现在就可以使用OD的插件OllyDump或者Scylla_x86进行程序的内存的DumpIAT表的修复。但是要说明的是使用Load PE结合ImportREC直接脱壳有点问题,没有细看。下面运行一下脱壳后的程序,证明脱壳成功。

技术分享

手动脱WinUpack 壳的分析文档和脱壳后程序的下载地址:http://download.csdn.net/detail/qq1084283172/8900675.



版权声明:本文为博主原创文章,未经博主允许不得转载。

手动脱WinUpack 壳实战--吾爱破解培训第一课选修作业六

标签:   winupack   脱壳   脱winupack 壳   手动脱壳   

原文地址:http://blog.csdn.net/qq1084283172/article/details/46888743

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!