小白学逆向，X32DBG在WIN10系统脱UPX壳遇见的问题！

cl173339545 · 发表于 2022-11-9 11:25

在WIN10系统环境，使用X32DBG脱UPX的壳，Dump出来的程序无法运行，使用IAT修复也没用，加载进DBG后发现F8到：mov byte ptr ds:[0x0086E400], 0x1此处后就跑飞，测试手动修改86->D7后可F8跟过，请问各位大佬有什么方法可以自动解决该问题？

longs75 · 发表于 2022-11-9 15:43

本帖最后由 longs75 于 2022-11-9 15:49 编辑

查看一下内存布局，这个内存地址应该是在应用程序模块之外了。具体怎么修复我不太懂，如果修改量不大的话，可以带壳破解，因为UPX解压后的代码区是可读可写的，可以在UPX最后的大跳转之前，用MOV指令把要修改的地方动态写上机器码，然后再跳转到OEP，实现动态破解，就不用脱壳了。

hjtkxg · 发表于 2022-11-9 15:57

遇到这种咋办呢，有什么办法可以删干净。有时候软件都卸不掉

IBinary · 发表于 2022-11-9 16:12

本帖最后由 IBinary 于 2022-11-9 16:13 编辑

1.确认你脱壳程序的版本是否是x86
2.确认下脱壳下的系统是否和程序一致. 否则可能会产生 WOW64转换相关. 你去搜索下资料.
总结: 如果脱壳程序是32位程序.那么请在32位系统下脱壳.
如果为了学习可以尝试如上方法.如果想直接用.可以直接 github下载 upx.exe 直接使用它提供的命令脱壳即可.
如以上还不行,那就带壳调试.或者看看原版程序哪里程序调用使用的哪个函数.

cl173339545 · 发表于 2022-11-9 16:34

IBinary 发表于 2022-11-9 16:12
1.确认你脱壳程序的版本是否是x86
2.确认下脱壳下的系统是否和程序一致. 否则可能会产生 WOW64转换相关. ...

主要是想学习手动脱壳，程序是32位的，但是放到论坛的专用XP系统下无法运行调试不了

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] 小白学逆向，X32DBG在WIN10系统脱UPX壳遇见的问题！