upx的一种脱壳方法。。

hnz2010

原帖的地址：
http://www.52pojie.cn/forum.php? ... ypeid%26typeid%3D13

由于这两天有几个人问我这个软件的脱壳，下面介绍下我的一些意见，有误的地方还请指正：
1.查壳

2.OD 载入到达 "OEP" 暂时称为OEP吧，其实它不是：

怎么达到OEP，不浪费大家感情（ESP定律）。

3.在0x40275A处下断：

也就是在ResumeThread处下断，这时是我们的dump的时机，这时看堆栈中:

0012E81C   000000B8  \hThread = 000000B8 (window)

0012E820   00000001

0012E824   00A00000

0012E828   00419120  NetPiao.00419120

0012E82C   00400000  NetPiao.00400000

0012E830   00000004

0012E834   00A00000

0012E838   0012EC00

0012E83C   000000B0

0012E840   000000B8

0012E844   00000AC4

中0012E844处为新进程的PID，这时要dump这个新的进程的ID

4.Load PE dump新的进程

注意选择新的进程dump，PID的值为 3步骤中0012E844处的值0xAC4

注意是选部分转存 地十为0x40 0000 大小为0x3F 0000

5.修复转存后的文件

用load PE的PE编辑器 功能 载入转存后的文件dump.dmp

修改文件块对齐与块对齐一样， 区段的Roffset也要改的和Voffset一样。

6.改完以后，保存文件，将dump.dmp重命名为NetPiao.exe，OK看看是否它运行起来了。

hnz2010

reddiamond 发表于 2014-12-25 09:32
哈哈，大了还不行。
楼主卖关子，我也就不点破了，哈哈。

请看21#，谢谢

hnz2010

gagmeng 发表于 2014-12-25 08:11
有点不明白的地方，转存时大小为什么是0x3F 0000，可否解释下，谢谢

是在原程序中，如果要另起一个进程，肯定是要分配内存空间的，这个0x3F 0000 就是跟踪代码得到的。
具体代码位置忘了。

2314902431

现在的UPX也有点小BT.用的脱壳器有时候还脱不掉~

whjke

感谢分享  试试看

reddiamond

高人一等，哈哈！

tony2526

是个令人头疼的壳，来学习学习，回头试试看了，楼主辛苦

reddiamond

0012E81C   000000B8  \hThread = 000000B8 (window)
0012E820   00000001
0012E824   00A00000
0012E828   00419120  NetPiao.00419120
0012E82C   00400000  NetPiao.00400000
0012E830   00000004
0012E834   00A00000
0012E838   0012EC00
0012E83C   000000B0
0012E840   000000B8
0012E844   00000AC4
中0012E844处为新进程的PID，这时要dump这个新的进程的ID

这个是如何确定的？

reddiamond

也就是在ResumeThread处下断，这时是我们的dump的时机，这时看堆栈中:
ResumeThread
几次跟到这里就没有招了，原来可以这样，真是受教了。
楼主再说下那个进程ID是根据什么来确定的

hnz2010

reddiamond 发表于 2014-12-24 13:01
也就是在ResumeThread处下断，这时是我们的dump的时机，这时看堆栈中:
ResumeThread
几次跟到这里就没有 ...

其实，0012E83C处是一个PROCESS_INFORMATION结构体，

具体可以百度下。第三个成员是进程的ID号。

reddiamond

hnz2010 发表于 2014-12-24 14:27
其实，0012E83C处是一个PROCESS_INFORMATION结构体，

具体可以百度下。第三个成员是进程的ID号。

明白了，我去查下这个结构体的资料

名叫呆呆

目测楼主成名有望了啊