UPX脱壳脱不干净

guoqiang5277

再看某草的初级教程的时候，发现有个UPX壳没有讲解怎么脱，手动脱了以下，发现总是脱不干净，没有思路。1、PEID 和exeinfo查壳分别为


2，OD载入

3，ESP定律，ESP下断点，停在这里

//不知道为什么传不了图片了。

00C754B4  ^\EB C8           jmp short Tomahawk.00C7547E
00C754B6    FF96 50458800   call dword ptr ds:[esi+0x884550]
00C754BC    61              popad
00C754BD  ^ E9 6AFAD3FF     jmp Tomahawk.009B4F2C                         //断在这里
00C754C2    0000            add byte ptr ds:[eax],al
00C754C4    DC54C7 00       fcom qword ptr ds:[edi+eax*8]

4，单步，到达OEP
009B4F2C    55              push ebp
009B4F2D    8BEC            mov ebp,esp
009B4F2F    83C4 F0         add esp,-0x10
009B4F32    53              push ebx
009B4F33    B8 FC3A9B00     mov eax,Tomahawk.009B3AFC
009B4F38    E8 9B2AA5FF     call Tomahawk.004079D8
009B4F3D    8B1D 10B69E00   mov ebx,dword ptr ds:[0x9EB610]          ; Tomahawk.009ECC3C
009B4F43    8B0B            mov ecx,dword ptr ds:[ebx]
009B4F45    B2 01           mov dl,0x1
009B4F47    A1 58997000     mov eax,dword ptr ds:[0x709958]
009B4F4C    E8 130EACFF     call Tomahawk.00475D64
009B4F51    8B15 0CAD9E00   mov edx,dword ptr ds:[0x9EAD0C]          ; Tomahawk.009EE3C0
009B4F57    8902            mov dword ptr ds:[edx],eax
009B4F59    A1 0CAD9E00     mov eax,dword ptr ds:[0x9EAD0C]
009B4F5E    8B00            mov eax,dword ptr ds:[eax]
009B4F60    E8 4B4ED5FF     call Tomahawk.00709DB0
009B4F65    8B03            mov eax,dword ptr ds:[ebx]
009B4F67    E8 A086ACFF     call Tomahawk.0047D60C
009B4F6C    8B03            mov eax,dword ptr ds:[ebx]
009B4F6E    BA 10509B00     mov edx,Tomahawk.009B5010                ; ASCII "Tomahawk Gold"

5、Lord PE，先修正镜像大小，然后完整转存，

6、ImpREC，
OEP填入，5B4F2C，点击自动查找IAT，获取到RVA，005FC268，SIZE，0BB4，
点击获取输入表，cut掉无效函数，进行修复。
7、修复后的可以运行，
用PEID查壳，提示

Borland Delphi 6.0 - 7.0
EP段位 UPX1

用EXEInfo查壳，提示

Unknown Packer-Protector , 4 sections - First section Delphi  NOT Packed - [ File dumped and Import created via Imprec.exe by UCF ]  [ File dumped and Import created via Imprec.exe by UCF ]

帮助信息：
unpack "upx.exe -d"  from  http://upx.github.io or any UPX/Generic unpacker

EP区段：UPX1   

补上源文件连接。下载:https://wwa.lanzouj.com/iDbrbg325ef 密码:75j9

求助内容：
1、怎么手动彻底脱掉这种壳。
2、碰到这种脱壳拖不干净的时候，有哪些思路可以用的？
3、有哪些脱壳类的教程也推荐一些

netspirit

后面还有一个章节叫做pe减肥................

镇北看雪

重建PE试试

topckey

感谢分享思路,授人以鱼不如授人以渔

pack39

其实你已经脱了，但是如果要回到本来的样子，你还得继续，PE减肥，节段调整，UPX壳，是可以恢复到本来的样子的。你如果用UPX -D去脱，也会回到本来的样子的。

guoqiang5277

netspirit 发表于 2020-8-26 19:40
后面还有一个章节叫做pe减肥................

是哪个章节呢，我看的这个是第22课了。基本上已经是比较靠后的章节了。

guoqiang5277

镇北看雪 发表于 2020-8-26 20:17
重建PE试试

两种方法测试：
1、ImpREC，选项，勾上“重建原始FT”和“创建新的IAT”，重新修复。该方法结果NG。
2、Lord PE，点击“重建PE”按键，选择ImpREC修复过的程序，提示重建成功，但是PEID查看，还是NG。

guoqiang5277

pack39 发表于 2020-8-26 21:13
其实你已经脱了，但是如果要回到本来的样子，你还得继续，PE减肥，节段调整，UPX壳，是可以恢复到本来的样 ...

哥们，PE减肥，节段调整，这个是要怎么操作呢？或者有哪些教程帮忙推荐一下。

镇北看雪

guoqiang5277 发表于 2020-8-27 10:26
哥们，PE减肥，节段调整，这个是要怎么操作呢？或者有哪些教程帮忙推荐一下。

看雪《加密与解密》上有