小白学逆向,X32DBG在WIN10系统脱UPX壳遇见的问题!
在WIN10系统环境,使用X32DBG脱UPX的壳,Dump出来的程序无法运行,使用IAT修复也没用,加载进DBG后发现F8到:mov byte ptr ds:, 0x1此处后就跑飞,测试手动修改86->D7后可F8跟过,请问各位大佬有什么方法可以自动解决该问题? 本帖最后由 longs75 于 2022-11-9 15:49 编辑查看一下内存布局,这个内存地址应该是在应用程序模块之外了。具体怎么修复我不太懂,如果修改量不大的话,可以带壳破解,因为UPX解压后的代码区是可读可写的,可以在UPX最后的大跳转之前,用MOV指令把要修改的地方动态写上机器码,然后再跳转到OEP,实现动态破解,就不用脱壳了。
遇到这种咋办呢,有什么办法可以删干净。有时候软件都卸不掉 本帖最后由 IBinary 于 2022-11-9 16:13 编辑
1.确认你脱壳程序的版本是否是x86
2.确认下脱壳下的系统是否和程序一致. 否则可能会产生 WOW64转换相关. 你去搜索下资料.
总结: 如果脱壳程序是32位程序.那么请在32位系统下脱壳.
如果为了学习可以尝试如上方法.如果想直接用.可以直接 github下载 upx.exe 直接使用它提供的命令脱壳即可.
如以上还不行,那就带壳调试.或者看看原版程序哪里程序调用使用的哪个函数.
IBinary 发表于 2022-11-9 16:12
1.确认你脱壳程序的版本是否是x86
2.确认下脱壳下的系统是否和程序一致. 否则可能会产生 WOW64转换相关....
主要是想学习手动脱壳,程序是32位的,但是放到论坛的专用XP系统下无法运行 调试不了
页:
[1]