UPX壳代码全程分析

cu629944 · 发表于 2013-7-20 12:46

本帖最后由 cu629944 于 2013-7-20 12:47 编辑

好久没来吾爱，应xuxiao的要求，发出这个分析过程。菜鸟一只，大牛别见怪。继续备考。大家拜拜。

[C++] 纯文本查看 复制代码

【详细过程】
004629D0 > 60 pushad //保存现场(pushad 相当于 push 所有的寄存器)
　　004629D1 BE 00F04300 mov esi, 0043F000 //把代码段放到esi寄存器
　　004629D6 8DBE 0020FCFF lea edi, dword ptr [esi+FFFC2000] //得到基址
　　004629DC C787 9CC00400 7>mov dword ptr [edi+4C09C], 46CD167B //将第一个函数的地址放到[edi+ 4C09C]
　　004629E6 57 push edi //将基址压栈
　　004629E7 83CD FF or ebp, FFFFFFFF //将0012FFC0与 FFFFFFFF或
　　004629EA EB 0E jmp short 004629FA
　　004629EC 90 nop
　　004629ED 90 nop
　　004629EE 90 nop
　　004629EF 90 nop
　　004629F0 8A06 mov al, byte ptr [esi] //取出0043F004的一个字节
　　004629F2 46 inc esi //指向下一个字节
　　004629F3 8807 mov byte ptr [edi], al //从00401000开始，开始还原代码
　　004629F5 47 inc edi //指向下一个地址

具体代码在压缩包，无耻隐藏。据说不隐藏没回复。

UPX脱壳全程分析.zip (4.63 KB, 下载次数: 173)

Max · 发表于 2013-7-20 12:55

支持楼主学习了

〇〇木一 · 发表于 2013-7-20 12:51

没人想看吗，那我先来，沙发主持楼主

Sreac.L · 发表于 2013-7-20 12:49

看看如何~

Lucy_HH · 发表于 2014-6-5 18:33

终于找到了，，，

1354669803 · 发表于 2013-7-20 12:57

骚年你还需要考试么

tangdragon · 发表于 2013-7-20 13:05

回复看看代码如何。

吾爱扣扣 · 发表于 2013-7-20 13:06

确实如此。。LZ正解

苏紫方璇 · 发表于 2013-7-20 13:18

膜拜大大，小菜只会脱这个壳，代码完全不懂

小糊涂虫 · 发表于 2013-7-20 13:20

还有不有其它壳的全程分析？

逍遥枷锁 · 发表于 2013-7-20 13:59

膜拜大师，来学习下

帐号		自动登录	找回密码
密码			注册[Register]

[原创] UPX壳代码全程分析

免费评分

本帖被以下淘专辑推荐:

点评

点评