网站 › 『脱壳破解讨论求助区』 › UPX脱壳脱不干净

guoqiang5277 发表于 2020-8-26 19:30

UPX脱壳脱不干净

本帖最后由 guoqiang5277 于 2020-8-31 16:41 编辑

再看某草的初级教程的时候，发现有个UPX壳没有讲解怎么脱，手动脱了以下，发现总是脱不干净，没有思路。1、PEID 和exeinfo查壳分别为


2，OD载入

3，ESP定律，ESP下断点，停在这里

//不知道为什么传不了图片了。

00C754B4^\EB C8         jmp short Tomahawk.00C7547E
00C754B6    FF96 50458800   call dword ptr ds:
00C754BC    61            popad
00C754BD^ E9 6AFAD3FF   jmp Tomahawk.009B4F2C                         //断在这里
00C754C2    0000            add byte ptr ds:,al
00C754C4    DC54C7 00       fcom qword ptr ds:

4，单步，到达OEP
009B4F2C    55            push ebp
009B4F2D    8BEC            mov ebp,esp
009B4F2F    83C4 F0         add esp,-0x10
009B4F32    53            push ebx
009B4F33    B8 FC3A9B00   mov eax,Tomahawk.009B3AFC
009B4F38    E8 9B2AA5FF   call Tomahawk.004079D8
009B4F3D    8B1D 10B69E00   mov ebx,dword ptr ds:          ; Tomahawk.009ECC3C
009B4F43    8B0B            mov ecx,dword ptr ds:
009B4F45    B2 01         mov dl,0x1
009B4F47    A1 58997000   mov eax,dword ptr ds:
009B4F4C    E8 130EACFF   call Tomahawk.00475D64
009B4F51    8B15 0CAD9E00   mov edx,dword ptr ds:          ; Tomahawk.009EE3C0
009B4F57    8902            mov dword ptr ds:,eax
009B4F59    A1 0CAD9E00   mov eax,dword ptr ds:
009B4F5E    8B00            mov eax,dword ptr ds:
009B4F60    E8 4B4ED5FF   call Tomahawk.00709DB0
009B4F65    8B03            mov eax,dword ptr ds:
009B4F67    E8 A086ACFF   call Tomahawk.0047D60C
009B4F6C    8B03            mov eax,dword ptr ds:
009B4F6E    BA 10509B00   mov edx,Tomahawk.009B5010                ; ASCII "Tomahawk Gold"

5、Lord PE，先修正镜像大小，然后完整转存，

6、ImpREC，
OEP填入，5B4F2C，点击自动查找IAT，获取到RVA，005FC268，SIZE，0BB4，
点击获取输入表，cut掉无效函数，进行修复。
7、修复后的可以运行，
用PEID查壳，提示
Borland Delphi 6.0 - 7.0
EP段位 UPX1

用EXEInfo查壳，提示
Unknown Packer-Protector , 4 sections - First section DelphiNOT Packed - [ File dumped and Import created via Imprec.exe by UCF ][ File dumped and Import created via Imprec.exe by UCF ]

帮助信息：
unpack "upx.exe -d"fromhttp://upx.github.io or any UPX/Generic unpacker

EP区段：UPX1   
补上源文件连接。下载:https://wwa.lanzouj.com/iDbrbg325ef 密码:75j9

求助内容：
1、怎么手动彻底脱掉这种壳。
2、碰到这种脱壳拖不干净的时候，有哪些思路可以用的？
3、有哪些脱壳类的教程也推荐一些{:1_893:}

netspirit 发表于 2020-8-26 19:40

后面还有一个章节叫做pe减肥................

镇北看雪 发表于 2020-8-26 20:17

重建PE试试

topckey 发表于 2020-8-26 20:49

感谢分享思路,授人以鱼不如授人以渔

pack39 发表于 2020-8-26 21:13

其实你已经脱了，但是如果要回到本来的样子，你还得继续，PE减肥，节段调整，UPX壳，是可以恢复到本来的样子的。你如果用UPX -D去脱，也会回到本来的样子的。

guoqiang5277 发表于 2020-8-27 10:13

netspirit 发表于 2020-8-26 19:40
后面还有一个章节叫做pe减肥................

是哪个章节呢，我看的这个是第22课了。基本上已经是比较靠后的章节了。

guoqiang5277 发表于 2020-8-27 10:15

镇北看雪 发表于 2020-8-26 20:17
重建PE试试

两种方法测试：
1、ImpREC，选项，勾上“重建原始FT”和“创建新的IAT”，重新修复。该方法结果NG。
2、Lord PE，点击“重建PE”按键，选择ImpREC修复过的程序，提示重建成功，但是PEID查看，还是NG。

guoqiang5277 发表于 2020-8-27 10:26

pack39 发表于 2020-8-26 21:13
其实你已经脱了，但是如果要回到本来的样子，你还得继续，PE减肥，节段调整，UPX壳，是可以恢复到本来的样 ...

哥们，PE减肥，节段调整，这个是要怎么操作呢？或者有哪些教程帮忙推荐一下。{:1_893:}

镇北看雪 发表于 2020-8-27 10:41

guoqiang5277 发表于 2020-8-27 10:26
哥们，PE减肥，节段调整，这个是要怎么操作呢？或者有哪些教程帮忙推荐一下。

看雪《加密与解密》上有

查看完整版本: UPX脱壳脱不干净