UPX壳代码全程分析
本帖最后由 cu629944 于 2013-7-20 12:47 编辑好久没来吾爱,应xuxiao的要求,发出这个分析过程。菜鸟一只,大牛别见怪。继续备考。大家拜拜。
【详细过程】
004629D0 > 60 pushad //保存现场(pushad 相当于 push 所有的寄存器)
004629D1 BE 00F04300 mov esi, 0043F000 //把代码段放到esi寄存器
004629D6 8DBE 0020FCFF lea edi, dword ptr //得到基址
004629DC C787 9CC00400 7>mov dword ptr , 46CD167B //将第一个函数的地址放到
004629E6 57 push edi //将基址压栈
004629E7 83CD FF or ebp, FFFFFFFF //将0012FFC0与 FFFFFFFF或
004629EA EB 0E jmp short 004629FA
004629EC 90 nop
004629ED 90 nop
004629EE 90 nop
004629EF 90 nop
004629F0 8A06 mov al, byte ptr //取出0043F004的一个字节
004629F2 46 inc esi //指向下一个字节
004629F3 8807 mov byte ptr , al //从00401000开始,开始还原代码
004629F5 47 inc edi //指向下一个地址
具体代码在压缩包,无耻隐藏。据说不隐藏没回复。
**** Hidden Message *****
支持楼主 学习了
没人想看吗,那我先来,沙发 主持楼主{:301_1003:} 看看如何~ 终于找到了,,,{:301_1003:} 骚年你还需要考试么 回复看看代码如何。 确实如此。。LZ正解
膜拜大大,小菜只会脱这个壳,代码完全不懂 还有不有其它壳的全程分析?
{:1_918:} 膜拜大师,来学习下