无法手脱upx
本帖最后由 15360438 于 2022-9-29 15:51 编辑来吾爱一年多了,前面一直在学习汇编/C++,最近一时兴起想学习手脱UPX壳
这里将自己学习到的东西和遇到的问题抛出,如果有什么写的不对的地方欢迎批评C++写了一个简单的程序并加壳,然后来手脱https://www.hualigs.cn/image/633543241e459.jpg
直接使用UPX进行加壳https://www.hualigs.cn/image/6335437d2981e.jpg
https://www.hualigs.cn/image/633543b69f805.jpg
成功加壳之后,在b站看了一个教程,使用IDA Pro进行动态调试跟进到真实代码处,然后再进行反汇编
他的思路就是在入口打上断点,然后一直F7单步执行(遇到call就F8不进入),直到遇到retn汇编代码直接F4运行retn
一直这么单步之后就遇到了syscall或者endbr64,就是程序的源码了
我在调试时遇到的问题:F7或者F8单步执行,没有遇到retn汇编代码(我认为此处可能是因为教程中调试的是elf,而我的是exe)
于是我就搜索了几个教程,好像大部分都是OD进行脱壳的,IDA Pro脱壳教程比较少
然后我就在吾爱搜索到了几篇手脱UPX壳的教程https://www.52pojie.cn/forum.php?mod=viewthread&tid=593356&highlight=upx%2Besp
我这使用的是吾爱破解工具包中的OD,系统是Windows7 64位https://www.hualigs.cn/image/633547249f323.jpg我把加壳的UPX拖进OD中进行调试F8单步执行,执行一步之后,右边的寄存器栏ESP变红,其他的变白https://www.hualigs.cn/image/6335480d178ea.jpg
此时点击选中ESP寄存器→右键→ HW break https://www.hualigs.cn/image/633548a4d75f0.jpg然后F9运行,就跳转到了这一步
https://www.hualigs.cn/image/6335493beb738.jpg此时遇到问题,会一直在这三行代码死循环https://www.hualigs.cn/image/633549afecfea.jpg选中循环下面的一行汇编,按F4,直接运行这行汇编,就可以跳出循环然后再F8单步执行,就跳转过来
根据这篇文章https://www.52pojie.cn/forum.php?mod=viewthread&tid=593356&highlight=upx%2Besp圈起来的应该就是OEP吧https://www.hualigs.cn/image/63354b6945663.jpg我这里是选中这个push ebp,然后右键点击"用OllyDump脱壳调试进程"https://www.hualigs.cn/image/63354c2b6a315.jpg然后这里我根据前辈的文章,记下了这个数值,点击脱壳https://www.hualigs.cn/image/63354c755340f.jpg
这里就直接错了
https://www.hualigs.cn/image/63354cad5e80c.jpg
点击确定之后,就提示这个,然后就跟文章不一样了
https://www.hualigs.cn/image/63354cd31f111.jpg
求助~{:301_972:} 给你的建议:
1、用xp虚拟机里操作,win7有aslr,可能对你脱壳有一些阻碍。
2、不要用od的脱壳插件,问题太多,用lordpe去dump,然后再修复iat。
https://www.52pojie.cn/thread-349073-1-1.html 建议看下第一课,作业讲解我当时说了类似问题。 害呀,排版好丑 CALL 00F81644 才是OEP吧! Hmily 发表于 2022-9-29 18:07
给你的建议:
1、用xp虚拟机里操作,win7有aslr,可能对你脱壳有一些阻碍。
2、不要用od的脱壳插件,问题 ...
谢谢老师,今天是第一次上吾爱,才把老师的课保存到网盘打算与c++共同学习,我也下载了吾爱定制的xp,但是我用vs2019编写的x86 c++可执行程序在xp上无法运行,基本功不扎实,还需要潜心学习 scncrenyong 发表于 2022-9-29 18:49
CALL 00F81644 才是OEP吧!
师傅你好,应该如何确定OEP是哪行汇编指令,是看寄存器栏,跟ESP一样变红吗 15360438 发表于 2022-9-29 20:08
师傅你好,应该如何确定OEP是哪行汇编指令,是看寄存器栏,跟ESP一样变红吗
通常jmp大跳之后就是OEP 15360438 发表于 2022-9-29 20:06
谢谢老师,今天是第一次上吾爱,才把老师的课保存到网盘打算与c++共同学习,我也下载了吾爱定制的xp,但 ...
了解了,那你先按后面说的,不要用od插件去dump,这个bug太多。
页:
[1]