本来觉得upx的壳不难,不过这个怎么脱都脱不掉。请高手说说是怎么脱的,只为学习。这个软件是本地当天的一份电子报。里面应该就是pdf合成一个文件的,不需注册,天天都更新,所以绝不会用于商业。
用upx的关键字进到如下
0056552F 54 PUSH ESP
00565530 50 PUSH EAX
00565531 53 PUSH EBX
00565532 57 PUSH EDI
00565533 FFD5 CALL EBP
00565535 58 POP EAX
00565536 61 POPAD
00565537 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
0056553B 6A 00 PUSH 0
0056553D 39C4 CMP ESP,EAX
0056553F ^ 75 FA JNZ SHORT dzwb-201.0056553B
00565541 83EC 80 SUB ESP,-80
00565544 - E9 0F61F7FF JMP dzwb-201.004DB658 这个谅应该是关键跳
00565549 0000 ADD BYTE PTR DS:[EAX],AL
0056554B 0000 ADD BYTE PTR DS:[EAX],AL
0056554D 0000 ADD BYTE PTR DS:[EAX],AL
0056554F 0000 ADD BYTE PTR DS:[EAX],AL
00565551 0000 ADD BYTE PTR DS:[EAX],AL
00565553 0000 ADD BYTE PTR DS:[EAX],AL
00565555 0000 ADD BYTE PTR DS:[EAX],AL
关键跳后到
004DB658 E8 482E0100 CALL dzwb-201.004EE4A5 照理说到这里就应该可以脱壳了,可是怎么弄都觉得不对。
004DB65D ^ E9 16FEFFFF JMP dzwb-201.004DB478
004DB662 55 PUSH EBP
004DB663 8BEC MOV EBP,ESP
004DB665 51 PUSH ECX
004DB666 53 PUSH EBX
004DB667 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C]
004DB66A 83C0 0C ADD EAX,0C
004DB66D 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
004DB670 64:8B1D 0000000>MOV EBX,DWORD PTR FS:[0]
004DB677 8B03 MOV EAX,DWORD PTR DS:[EBX]
004DB679 64:A3 00000000 MOV DWORD PTR FS:[0],EAX
004DB67F 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
004DB682 8B5D 0C MOV EBX,DWORD PTR SS:[EBP+C]
004DB685 8B6D FC MOV EBP,DWORD PTR SS:[EBP-4]
004DB688 8B63 FC MOV ESP,DWORD PTR DS:[EBX-4]
004DB68B FFE0 JMP EAX
004DB68D 5B POP EBX
004DB68E C9 LEAVE
004DB68F C2 0800 RETN 8
004DB692 58 POP EAX
004DB693 59 POP ECX
004DB694 870424 XCHG DWORD PTR SS:[ESP],EAX
004DB697 FFE0 JMP EAX
请高手写一下教程,本人只为学习。谢谢。
本想直接上传附件,但文件上传最大为3M,所以上传不了。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
