手脱UPX(3.91)
2024-09-03 16:27:07
1、使用Detect It Easy进行查壳;
2、使用x32dbg打开该带壳程序,在选项->选项->异常中添加区间设置0~FFFFFFFF全忽略;
3、我们F9运行到程序入口处,看到了pushad,我们使用ESP定律进行脱壳;
4、运行后的位置在lea eax,我们可以看到其下有jne upx(3.91).407ABB,jmp upx(3.91).4012CD,我们当前的EIP地址为00407AB7,此处是个大跳转,极有可能是OEP,在jmp下断点,F9运行至此处,单步步入;
5、在此处就可以进行脱壳操作;
6、再次查壳;
7、总结;
该壳是一款不错的压缩工具,用UPX压缩过的可执行文件体积缩小50%-70%,但UPX每个版本使用的方法一样,也就意味着,这种方法能够脱去UPX的多个版本;
最新文章
- PHP的魔法方法__set() __get()
- Linux常用的安全工具 转自https://yq.aliyun.com/articles/52540?spm=5176.100239.blogcont24250.8.CfBYE9
- Java项目——模拟电话薄联系人增删改查
- iOS网络监测方法
- JavaWeb学习笔记——jsp内置对象
- 关于DevExpress的GridView.VisibleIndex的赋值问题
- Hibernate逍遥游记-第13章 映射实体关联关系-003单向多对多
- 宣布发布长期保留 Azure Backup功能
- centos下httpd 启动失败的解决办法
- POI3.10 根据Excel模版导出数据测试
- Singleton 单例模式 泛型 窗体控制
- tlplayer for ios V1.0
- 分享一个数据库工具DTOOLS
- 分享一些JAVA相关资源
- Python——Pycharm基本设置
- 从vue源码看props
- eclipse如何设置断点&;断点处运行快捷键
- Morley's Theorem
- web自动化测试---css方式定位页面元素
- error: could not create '/System/Library/Frameworks/Python.framework/Versions/2.7/share': Operation not permitted