这里选择的程序是http://www.52pojie.cn/forum.php?mod=viewthread&tid=294773&extra=page%3D1%26filter%3Ddigest%26digest%3D1中的那个易语言程序,Peid侦壳的加壳类型是:UPX 0.89.6 - 1.02 / 1.05 - 1.24【先感谢下Blackk大大,真心是新手福音,业界良心……】
首先把程序扔到OllyIce里面可以看到:
然后这里尝试使用ESP定理:即在ESP第一次改变时,对ESP的地址设置硬件字访问断点,这样可以在代码被UPX算法还原之后,跳转到程序的正常入口处。
然后F5运行,并没有直接到跳转到程序入口处的大跳位置,但是可以看到UPX的大跳就在眼前 = =:
所以被还原后的程序入口点就是0x00445151(通过单步往下走,F4略过往回走的循环语句,也可以看到这个大跳的位置。P.S.关于UPX壳的原理可以看参考链接。)接下来走到大跳位置,跳到正常程序入口处:
然后去掉硬件断点,并使用LoadPE的dump功能dump目标程序:
先修正映像大小,然后再选择完整脱壳,这样可以得到第一步dump的程序,然后再使用ImportREC修复dump程序的OEP,OEP的信息通过OD自带的dump功能查询或者直接填45151:
将正确的入口地址(OEP——Original Entry Point)填入ImportREC中,然后自动搜索IAT信息:
然后点击获取输入表得到修正IAT之后的程序函数输入表,然后再点击显示无效函数,愉快地发现没有无效函数,那么就可以直接修复转存文件了。
选择刚刚第一步dump下来的转储文件进行修复,修复完成之后脱壳完成:
相关参考的文章:
| 
发表于 2014-11-17 23:54
发表于 2015-4-23 15:50
