upx壳居然这么难

I777 · 发表于 2020-1-9 01:25

平常我都是看见壳就放弃但是这个upx 我看教程很简单！！！
但是事实上为什么我oep不一样我用的是大佬发的esp定律脱壳方法

捕获.PNG

首先查壳

然后F8到mov哪里然后右键寄存器的ESP HW break{ESP}
9875646565获.PNG

然后我们直接F4到jmp哪里然后在按F8

看教程这里应该是oep的样子可是我这个不一样 jmp F8以后到达了这个call
然后就没有头绪了表示一头雾水希望老大哥们提供点思路帮助

wu0o0pj · 发表于 2020-1-10 11:11

正常脱壳是在 XP 下
然而这软件导入表中含 InitializeCriticalSectionEx，程序未处理，在 xp 下是没有这个API 的
原APP在执行UPX 解压处理导入表中 InitializeCriticalSectionEx 时，定位不到，所以程序退出

在 win7 下，由于受 ASLR 影响，脱壳容易出问题，这应该就是 LZ 出现的问题

解决掉 ASLR 就行了：
如 LordPE -> PE编辑器 -> 特征值 -> 勾选 "重定位已分离"，记得保存
然后再进行之前的脱壳步骤即可

I777 · 发表于 2020-1-10 11:34

你与明日发表于 2020-1-9 08:03
不知道哪个版本的vs连接器开始,好像是vs2010就使用了新的入口特征,就是call jmp

你找的地方没错

请问那个找到要脱壳的dll
是什么意思呀我没有找到跟他一样的1dll

hk6242337 · 发表于 2020-1-9 05:51

用upx脱壳工具，一键搞定

我乃小明 · 发表于 2020-1-9 06:50

拖到工具里不就完事了吗

你与明日 · 发表于 2020-1-9 08:03

不知道哪个版本的vs连接器开始,好像是vs2010就使用了新的入口特征,就是call jmp

你找的地方没错

hfw · 发表于 2020-1-9 08:06

直接用脱壳机不行嘛

kll545012 · 发表于 2020-1-9 08:21

UPX还手动~~直接一键脱壳就行了~~~

wasdzjh · 发表于 2020-1-9 09:00

把文件放出来，我看看，我也学学脱壳

青霄 · 发表于 2020-1-9 09:19

学一下概念就好，自己用esp定律脱了壳后，很多关键字符串都会被隐藏，不利于定位
还是小生怕怕的脱壳机香

腾空而飞 · 发表于 2020-1-9 09:35

UPX的很简单啊

I777 · 发表于 2020-1-9 19:36

wasdzjh 发表于 2020-1-9 09:00
把文件放出来，我看看，我也学学脱壳

http://t.cn/AisOPKLB

帐号		自动登录	找回密码
密码			注册[Register]

[讨论] upx壳居然这么难

个人中心