作业1求解。询问

潇潇风 · 发表于 2015-7-8 03:07

作业1，upx的壳。用esp脱壳法，f8,跟踪esp地址的数据窗口，右键下断点。运行，删除断点。找到push 0（地址0045775E）.

但是点击工具下loadpe无反应。所以用右键ollyDump脱壳调试进程，选方式1脱壳，保存。

问题是：用peid V0.95 查壳显示pesniffer：MEW 11 SE v1.2 PeiDDScan：upx0.89.6.

不知对否？？？

@hmily

张大腕 · 发表于 2015-7-8 05:13

哇。幸苦了那么晚还在做作业

niuniu919 · 发表于 2015-7-8 05:39

入口找错了，仔细学学入口特征。看H大给的无壳程序，导入od看一下入口特征。还有一点，大跳转来到的第一行，一般就是入口了。

bzzxabc · 发表于 2015-7-8 05:47

你脱壳后载入看看入口点是不同的，再有就是脱壳前OD载入有提示，脱壳后就没有提示了。

ACL · 发表于 2015-7-8 06:58

建议你好好了解一下各语言入口特征以及特征码特不是说过遇到大跳转一般就是OEP了你比较一下只有JMP那句是大跳所以那句过后就是OEP了

115835 · 发表于 2015-7-8 06:59

你是不是WIN7在脱呀，速度换XP呀，不然脱死也脱不出来。你看下，你第一图呀， 457765 JMP是一大跳，F8进，一定是OEP，在对比一下程序入口的样式。开脱就OK

smile1110 · 发表于 2015-7-8 07:19

跟着图上jmp走看到55就是入口点还有用xp 你oep找错了

一_岁_就_很_帅 · 发表于 2015-7-8 09:43

这不是oep拉哈哈哈

1151425395 · 发表于 2015-7-8 10:40

入口找错了，学会运用ESP定律

帐号		自动登录	找回密码
密码			注册[Register]

[UnPackMe] 作业1求解。询问