標籤:殼 winupack 脫殼 脫winupack 殼 手動脫殼
Fly2015
吾愛破解培訓第一課選修作業第6個練習樣本程式。不得不重複那句話,沒見過這種殼,該殼是壓縮殼的一種,相對於壓縮殼,加密殼的難度要大一些,特別是IAT表的修複問題上。
首先分別使用DIE和Exeinfo PE對該加殼程式進行查殼的處理。
OD載入加WinUpack 殼的程式進行動態調試分析,加殼程式進入點反組譯碼快照。
想都不用想,看到PUSHAD直接ESP定律脫殼F8單步一步,ESP寄存器右鍵設定硬體寫入斷點。F9運行程式,程式自然的斷在設定的硬體斷點處,。
有點驚呆了,硬體斷點斷下來的地方004739BC處JMP指令的跳轉地址0041DDAC就是原程式的真實OEP的VA,F7單步直接跟過去,熟悉的介面出現了。
Ctrl+A分析地址0041DDAC處的記憶體資料,瞬間就豁然開朗了很多。
OK,現在就可以使用OD的外掛程式OllyDump或者Scylla_x86進行程式的記憶體的Dump和IAT表的修複。但是要說明的是使用Load PE結合ImportREC直接脫殼有點問題,沒有細看。下面運行一下脫殼後的程式,證明脫殼成功。
手動脫WinUpack 殼的分析文檔和脫殼後程式的:http://download.csdn.net/detail/qq1084283172/8900675.
著作權聲明:本文為博主原創文章,未經博主允許不得轉載。
手動脫WinUpack 殼實戰--吾愛破解培訓第一課選修作業六
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
