UPX 壳 程序介绍
1.给401000下写入硬件断点,点F9 运行下来,断下是解压程序段。(看不懂解压程序)2.进入401000程序段,找到程序绝对地址dll,转到内存下写入硬件断点,停下是重定位修复程序段.
3.往下看紧跟的就是导入表修复程序段。可以下断 bp Getprocaddress
lea edi,dword ptr ds:
mov eax,dword ptr ds:
or eax,eax
je 1.61A4BE
mov ebx,dword ptr ds:
lea eax,dword ptr ds:
add ebx,esi
push eax
add edi,8
call dword ptr ds:
xchg ebp,eax
mov al,byte ptr ds:
inc edi
or al,al
je 1.61A473
mov ecx,edi
jns 1.61A4A2
movzx eax,word ptr ds:
inc edi
push eax
inc edi
mov ecx,AEF24857
push ebp
call dword ptr ds:
or eax,eax
je 1.61A4B8
mov dword ptr ds:,eax
add ebx,4
jmp 1.61A490
call dword ptr ds:
mov ebp,dword ptr ds:lea edi,dword ptr ds:
这段程序中 “B9”是复用,在跳转成立时反汇编一种代码,不成立时反汇编是mov无用指令 程序开始会出现导入表地址,手动查看起始地址和大小 这个跳转区别字符串找地址还是序列号 1.如有补充请编辑原贴,请勿刷楼层,不方便大家查看。
2.图片插入错误,请查看帮助中的图片插入。
3.可以使用代码块把代码部分包裹,可以更方便查看。
4.建议使用md(MarkDown)语法,更美观
页:
[1]