网站 › 『教学培训区』 › 【新人求助】脱壳后程序内的汇编指令全没了！

半真子 发表于 2020-6-5 18:19

【新人求助】脱壳后程序内的汇编指令全没了！

程序：论坛培训第二课作业一
环境：论坛专用虚拟机winxp
脱壳过程如下：
1.EXEInfoPE查壳；
UPX 0.89 - 3.xx -> Markus & Laszlo ver. [   1 ] <- from file. [ ! Modified ! ] ( sign like UPX packer )
2.在ollydbg找OEP，OEP在0x005025a6;
3.接着就是利用lordPEdump文件；
4.再用 ImpREC FINAL 1.7汉化版 进行重建IAT
IAT信息：
OEP = 1025A6
EVA = 127000
SIZE = 95C
5.获得输入表，剪切无效指针，获得输入表；
6.转储文件后打开结果如下：
而用OLLYDBG打开看见里面完全没有指令。


而我用OLLYDBG内带的脱壳插件，脱壳后居然能正常脱壳，有大佬指教下吗？刚学这个不太懂。

Hmily 发表于 2020-6-5 18:30

我好像写了排查方法？看起来应该是有iat没修复完整，是不是大小少了。

半真子 发表于 2020-6-5 19:01

起始地址：527000
最后地址：52795C就是再oldelg.OleUIBusy 那里
大小 不是95C吗？

半真子 发表于 2020-6-5 19:02

Hmily 发表于 2020-6-5 18:30
我好像写了排查方法？看起来应该是有iat没修复完整，是不是大小少了。

我是按照大大你第一课教的计算IAT的大小，应该没小吧。

Hmily 发表于 2020-6-5 22:41

半真子 发表于 2020-6-5 19:02
我是按照大大你第一课教的计算IAT的大小，应该没小吧。

我只是猜测，还需要你自己排查，调试下崩溃的地方是什么。

半真子 发表于 2020-6-6 17:08

Hmily 发表于 2020-6-5 22:41
我只是猜测，还需要你自己排查，调试下崩溃的地方是什么。

也搞不懂了，用scylla脱壳也没出现这异常，就是用IMPREC就出现这种情况。里面的汇编指令全没了，我也不懂怎么排查了。

半真子 发表于 2020-6-6 17:09

Hmily 发表于 2020-6-5 22:41
我只是猜测，还需要你自己排查，调试下崩溃的地方是什么。

网上找了好久也很少见到这种类似的情况。

Hmily 发表于 2020-6-6 21:16

半真子 发表于 2020-6-6 17:08
也搞不懂了，用scylla脱壳也没出现这异常，就是用IMPREC就出现这种情况。里面的汇编指令全没了，我也不懂 ...

看入口代码没有可以从两个方面排查，一是入口点的地址是否设置正确，二是dump文件时机对不对，是不是还没解码。

查看完整版本: 【新人求助】脱壳后程序内的汇编指令全没了！