UPX 脱壳 方法分享 带壳修改壳程序报错处理
1.介绍一下自己 10月1号我注册,每天在论坛学习脱壳。重点我一直没有成功手脱 UPX壳。
2.介绍一下我成功修改第一个软件过程
1.1查壳
1.2放入OD找OEP ,方法有 1.往下找忽略上跳一直到碰到大跳 2.puhad F7一下 esp 地址下硬件访问断点会断在popad堆栈平衡向下找 3.还有其他方法要自学了看堆栈,给程序段下执行断点,直接搜索popad等
1.3找到oep脱壳
1.3.1用LordPE转存(我也不知道要不要运行程序),
1.3.2用导入表重建工具把原始导入表导入到转存文件中,重建PE。(修复导入表时我也不知道程序时运行的还是停止的)
1.3.3运行转存软件不显示0005错误,显示地址错误说明能运行。
1.4运行原始程序和转存程序,对比那个地址错误。
1.5在错误地址下写入硬件断点。
1.6找到壳程序修复地址程序段
1.7修改大跳壳程序(这里有个大坑下面要讲)
1.8让程序先执行壳程序修复地址后再跳到原始OEP
1.9爆破
1.9.1函数下段、暂停看堆栈法、搜索字符串,序列号、按键事件法、我自己研究的保密,后续看到同类方法我在更新我自己的两种。
1.9.2关键跳爆破成功。
1.9.3找暗桩,谁控制的关键跳的绝对地址,(修改壳程序可以实现运行就注册)
2.壳会检测壳程序的完整性
2.1问题就在照片里
2.1.1解决方法可以用大跳跳到空白地方加自己程序在跳回去原始oep
2.1.2要不可以修改程序过检测“图0”
3.反汇编技术,等下堆栈断点老是一个地方,说明有迷糊堆栈了 当上面出现 “00 53”“00 55”可以DB 00地址分开就可以看到正常堆栈 走向成功。
就分享到这里谢谢大家讨论 我想了想软件不能运行 没有人评论好遗憾,分享两个下断方法,一个是给句柄下断一个是给弹窗大小下段,一般弹窗标题序列号都加密了,单大小加密的少,句柄就没法加密 嗯这样可以不过现在都是直接上脱壳机emmmm 我在用OD时,按F8遇到call就把程序调出来了,然后程序停止运行了,这是什么回事呢
页:
[1]