手動脫UPX 殼實戰--吾愛破解培訓第一課作業1

標籤：脫殼   upx 殼   脫upx 殼   吾愛破解   手動脫殼   

Fly2015

Windows平台的加殼軟體還是比較多的，因此有很多人對於PC軟體的脫殼樂此不彼，本人菜鳥一枚，也學習一下PC的脫殼。要對軟體進行脫殼，首先第一步就是 查殼，然後才是 脫殼。

推薦比較好的查殼軟體：

PE Detective 、Exeinfo PE、DIE工具。

 

需要脫殼的程式是吾愛破解論壇的windows逆向破解培訓http://www.52pojie.cn/thread-378612-1-1.html第一課的作業題1.

 

1.對該程式(吾愛破解培訓第一課作業一.exe)進行查殼

PE Detective的查殼結果:

Exeinfo PE的查殼結果：

DIE的查殼的結果:

DIE查殼有一個好處就是能從查殼的結果中得知被加殼的程式是用什麼語言編寫的，這個比較有用。

2.進行UPX脫殼實戰

該程式載入OD以後發現有pushad指令，很顯然該程式需採用ESP定律進行脫殼。

F8單步走一步，然後右鍵選擇ESP寄存器下HW break硬體斷點。

F9運行程式，該程式會在硬體斷點的地方自動斷下來，

在JMP指令的位置F2下斷點，然後F9運行到該斷點00457765處，地址0041DDAC處就是被加殼程式原來的OEP處。一般被加殼的程式在解殼以後都會有一個跳轉，可能是JMP也可能是其他的指令。F7跟進到地址0041DDAC處，

是不是很眼熟啊，VS2008等編譯的程式的進入點彙編指令。下一步就可以使用OD的外掛程式OllyDump或者(Load PE+RECImport)工具進行程式的脫殼和IAT表的修複：

被加殼程式的真實的OEP的RVA地址為1DDAC，這裡IAT表的重建選擇方式1，根據實際情況選擇IAT表的修複方式。

Ok。用查殼程式，對脫殼程式進行查殼，結果如下：

運行一下剛才被脫殼的程式，證明脫殼成功！

UPX脫殼分析文檔和完美脫殼後的程式;http://download.csdn.net/detail/qq1084283172/8883081

著作權聲明：本文為博主原創文章，未經博主允許不得轉載。

手動脫UPX 殼實戰--吾愛破解培訓第一課作業1