手脱UPX的三种方法

  0040E9AA     8A5F 04       mov bl,byte ptr ds:[edi+4]
  0040E9AD     66:C1E8 08    shr ax,8
  0040E9B1     C1C0 10       rol eax,10
  0040E9B4     86C4          xchg ah,al
  0040E9B6     29F8          sub eax,edi
  0040E9B8     80EB E8       sub bl,0E8
  0040E9BB     01F0          add eax,esi
  0040E9BD     8907          mov dword ptr ds:[edi],eax
  0040E9BF     83C7 05       add edi,5
  0040E9C2     89D8          mov eax,ebx
  0040E9C4   ^ E2 D9         loopd short NOTEPAD.0040E99F           //要往回跳了
  0040E9C6     8DBE 00C00000 lea edi,dword ptr ds:[esi+C000>        //这里F4，继续F8
  0040E9CC     8B07          mov eax,dword ptr ds:[edi]
  0040E9CE     09C0          or eax,eax
  0040E9D0     74 3C         je short NOTEPAD.0040EA0E
  0040E9D2     8B5F 04       mov ebx,dword ptr ds:[edi+4]
  0040E9D5     8D8430 14EC00>lea eax,dword ptr ds:[eax+esi+>
  0040E9DC     01F3          add ebx,esi
  0040E9DE     50            push eax
  0040E9DF     83C7 08       add edi,8
  0040E9E2     FF96 A0EC0000 call dword ptr ds:[esi+ECA0]
  0040E9E8     95            xchg eax,ebp
  0040E9E9     8A07          mov al,byte ptr ds:[edi]
  0040E9EB     47            inc edi
  0040E9EC     08C0          or al,al
  0040E9EE   ^ 74 DC         je short NOTEPAD.0040E9CC
  0040E9F0     89F9          mov ecx,edi
  0040E9F2     ;57            push edi
  0040E9F3     48            dec eax
  0040E9F4     F2:AE         repne scas byte ptr es:[edi]
  0040E9F6     55            push ebp
  0040E9F7     FF96 A4EC0000 call dword ptr ds:[esi+ECA4]
  0040E9FD     09C0          or eax,eax
  0040E9FF     74 07         je short NOTEPAD.0040EA08
  0040EA01     8903          mov dword ptr ds:[ebx],eax
  0040EA03     83C3 04       add ebx,4
  0040EA06   ^ EB E1         jmp short NOTEPAD.0040E9E9           //要往回跳了
  0040EA08     FF96 A8EC0000 call dword ptr ds:[esi+ECA8]
  0040EA0E     61            popad                                 //这里F4，继续F8
  0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC                   //在这里间接跳到了OEP
  。。。。。。。。。。。。。。。。。。。
  004010CC     55            push ebp                    //离开这里，在此dump
  004010CD     8BEC          mov ebp,esp
  004010CF     83EC 44       sub esp,44
  要领2：ESP定律手动脱壳
  0040E8C0 N>  60            pushad                        //停在这里了，我们F8单步
  0040E8C1     BE 15B04000   mov esi,NOTEPAD.0040B015       //ESP突现，0012FFA4
  下令：dd 0012FFA4回车， 断点--硬件拜访--WORD，F9运行，间接离开这里
  0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC           //离开这，F8单步就到了OEP
  不详述，和要领一一样了
  要领3：捷径(也是前辈们总结出来的要领)
  间接CTRL+F，输入popad
  0040EA0E     61            popad                 //F2下断，F9运行，F2取消断点，单步F8
  0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：