手脱UPX v0.89.6 - v1.02

Jian丶ylt · 发表于 2015-10-21 21:26

声明：

   只为纪录自己成长历程，高手勿喷

这个壳的脱法很多一般都一步直达的，步过我喜欢ESP定律

1.载入OD，在入口下一行ESP定律运行一次

00457170 >  60             pushad                                  ; //入口
00457171 BE 00904300    mov esi,吾爱破解.00439000                   ; //ESP一次
00457176 8DBE 0080FCFF lea edi,dword ptr ds:[esi-0x38000]
0045717C 57             push edi
0045717D 83CD FF       or ebp,-0x1
00457180 EB 10          jmp short 吾爱破解.00457192
00457182 90             nop

2.落脚后单步走就可以到了

00457348 8D4424 80    lea eax,dword ptr ss:[esp-0x80]       ; //ESP落脚点
0045734C 6A 00          push 0x0
0045734E 39C4          cmp esp,eax
00457350  ^ 75 FA          jnz short 吾爱破解.0045734C                ; //下一行F4
00457352 83EC 80       sub esp,-0x80
00457355  - E9 526AFCFF    jmp 吾爱破解.0041DDAC                      ; //这里就跳向OEP了
0045735A 0000          add byte ptr ds:[eax],al
0045735C 48             dec eax
0045735D 0000          add byte ptr ds:[eax],al
0045735F 0000          add byte ptr ds:[eax],al
00457361 0000          add byte ptr ds:[eax],al

3.到达OEP，然后修复脱壳就好了

0041DDAC E8 EF4E0000    call 吾爱破解.00422CA0                      ; //OEP位置
0041DDB1  ^ E9 79FEFFFF    jmp 吾爱破解.0041DC2F
0041DDB6 3B0D B0074400 cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC 75 02          jnz short 吾爱破解.0041DDC0
0041DDBE F3:          prefix rep:
0041DDBF C3             retn
0041DDC0 E9 714F0000    jmp 吾爱破解.00422D36
0041DDC5 8BFF          mov edi,edi
0041DDC7 55             push ebp

w4559wq · 发表于 2015-10-21 22:00

脱的一手好衣服

jmtjkk · 发表于 2015-10-22 11:40

本人小白，帮顶学习

ICEY · 发表于 2015-11-1 08:14

请问怎么修复啊，我不会啊

Jian丶ylt · 发表于 2015-11-1 22:23

1595932574 发表于 2015-11-1 08:14
请问怎么修复啊，我不会啊

使用loadPE+ImportREC，在论坛里面有相关工具，至于怎么使用可以参考下论坛里ximo大神的视频教程，文字也说不清

風走過的路 · 发表于 2016-8-12 19:08

谢谢分享经验

拾梦 · 发表于 2018-5-21 15:33

感谢分享

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 手脱UPX v0.89.6 - v1.02