记一次upx脱壳

tie1zhu

记一次upx脱壳我学完x86汇编、PE文件格式，新发现一个叫【壳】的东西，这才知道还有 加壳/脱壳 这么一回事，写个帖子记录一下。前置知识：

• 《C++反汇编与逆向分析技术揭秘》钱林松
• 《Windows环境下32位汇编语言程序设计》罗云彬
• 《Windows PE权威指南》戚利
  

工具：

• PEiD：查壳工具。
• OllyDbg：调试程序，寻找OEP。
• LordPE：抓取内存映像【dump】。
• ImportREConstructor：重建输入表。
  

下文中的演示文件来自于 ximo脱壳基础 。

---

一些浅薄的思考：如果PE基础不错的话，那么就会明白外壳的代码执行完之后，会跳到程序入口点，这个跳转是一个距离很远的跳转。这样的话，很显然 ximo老师说的【方法1：单步跟踪】，其实就是去找这个距离很远的跳转。如果汇编基础不错的话，那么就会明白 程序运行时，平栈很重要，也就是要保证栈平衡。这样的话，很显然 ximo老师说的【方法2：ESP定律法】，其实是栈平衡。

---

使用ESP定律法脱壳。具体的步骤：

• 查壳，UPX壳，压缩壳。
• 
• 使用OllyDbg调试，单步步过一次。在ESP上面右键- 数据窗口中跟随。
• 
• 数据区-右键-断点-硬件访问-word。
• 
• 运行。
• 
• 删除硬件断点。
• 
• 单步执行一次即可看到OEP   7738C。
• 
• 使用LordPE来dump内存映像。
• 右键-修正镜像大小，右键-完整转存。
• 
• 显示 程序正常初始化失败。看来是还没有重建IAT。
• 
  
• 使用ImportREConstructor重建输入表，选进程，填写OEP-IAT自动搜索-获取导入表-修正转储 到刚才dump下来的文件。
• 
• 最后运行成功。
• 
  

---

学习脱壳的过程中，我感觉之前学到的 PE知识、x86汇编知识 都活过来了，太妙了。再者，居然还有 LordPE 这么方便的工具，亏我之前还费劲的写了一个颜值低、功能少的PE编辑器，白造轮子了。下次造轮子之前一定先仔细找找是不是有现成的工具，惨痛的教训呀。演示文件在附件中。


默认密码：52pojie 或者 www.52pojie.cn

jackchengyu

tie1zhu 发表于 2025-12-15 16:44

选进程 和  IAT自动搜索  之间要 填写OEP

我知道要填写OEP数值，但是点击获取导出表，有一个提示无效的。

tie1zhu

jackchengyu 发表于 2025-12-15 16:55
我知道要填写OEP数值，但是点击获取导出表，有一个提示无效的。

不要用win7/win8/win10/win11脱壳，换Windows XP虚拟机，原因是ASLR基地址随机化导致地址不同。

yueyechenfeng

小白学习一下

jackchengyu

哪一步错了啊，ImportREConstructor重建输入表加载不出来。

jackchengyu

ImportREConstructor重建输入表,提示未解决指针问题，怎么搞

jackchengyu

0007B48C函数数AA :这个无效 ，怎么搞？

labixiaoxincl

跟大佬学习了

NickSONG

如何脱，怎样才能脱干净

hainanyu

你进了很大一步，向你学习

tie1zhu

jackchengyu 发表于 2025-12-15 10:46
哪一步错了啊，ImportREConstructor重建输入表加载不出来。

选进程 和  IAT自动搜索  之间要 填写OEP

kclerh

jackchengyu 发表于 2025-12-15 10:46
哪一步错了啊，ImportREConstructor重建输入表加载不出来。

你是不是没有点击IAT自动搜索