大家好,又见面了,我是你们的朋友全栈君。
查壳
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/4ab4f77f-62bf-4ace-9ff0-9a5917a4247920220630387b04ee-863e-42db-b07c-d04cdb6932c91.jpg)
![upx 手动脱壳[通俗易懂]](https://javaforall.net/wp-content/uploads/2020/11/2020110817443450.jpg)
UPX 0.89.6 – 1.02 / 1.05 – 2.90 (Delphi) stub -> Markus & Laszlo
upx这类压缩壳手动脱壳非常简单。
一、查找oep
way1:
首先在程序入口发现pushad指令,接下来可以直接查找指令popad
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/9507d92b-5a16-4dab-897d-a9cc83e2ac08202206300631edea-33f7-4ff0-b356-e3cf590684931.jpg)
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/910acbb3-8091-42bd-a842-a8dcafcc44f2202206305131dd19-fc52-48d8-97ca-0071095d9d6c1.jpg)
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/da480cdf-3ff4-4e4d-af34-420a0d37378920220630e60e9389-f474-4aea-812c-67888280cedc1.jpg)
在jmp指令处下断,运行。
jmp之后来到oep
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/5349553e-d452-45fe-9e73-39f1920d6b3220220630eb41481a-0da5-4b57-ace9-d04cc51dc9151.jpg)
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/6482182d-18a3-4794-a6b5-812198b2c76520220630f558a6b0-04a1-4fc0-b11a-a903b47995441.jpg)
way2:
当然可以在单步pushad后,转到esp的内存窗口,设置硬件断点,运行,找到jmp处。
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/fc241bba-768c-4de4-8e9b-1d9466fb773620220630771c3924-64e9-4673-8fbd-c6eefaf1a0231.jpg)
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/f4b24d61-ec33-449a-af2b-8ce7ba91d874202206308852448f-ce14-4854-9b22-d259a941b2411.jpg)
运行后会在popad指令后停下
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/5b983946-a361-482c-8ebf-93e393e7f19f20220630385ffef1-2e4c-4270-b8ee-00261cca53ce1.jpg)
跟踪jmp将转到oep
在x64dbg下使用Scylla
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/c510fabb-aed6-470c-b3ca-13fd6f94347e202206303a60d3fa-6020-4635-bd34-a55834f8f0e31.jpg)
删除掉失效函数。
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/2d9cd7fc-e8b6-48b2-8df8-48c4cba857c82022063080906662-5de7-41ad-9747-1189565830701.jpg)
最后
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/35bf8977-481e-4c41-9ad6-5e58c7a6751e20220630073f46a7-1530-41fa-97c4-d6da6380ddeb1.jpg)
脱壳完成。
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/0d04f32c-5819-43a5-af41-0ffd7a9b39a9202206302b5a5493-c3d4-473a-82db-c3d5536462d31.jpg)
如果没有修复,直接运行程序可能会报错
![upx 手动脱壳[通俗易懂]](http://qn.javajgs.com/20220630/88b7fae9-9a5c-4fee-ae36-ce953580e0c2202206307501f0af-b1bb-4ab2-aa9c-c16afd7a2b491.jpg)
修复IAT后程序便可以正常运行。[fix dump]
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/154298.html原文链接:https://javaforall.net
