vigers 发表于 2015-7-8 22:03

UPX脱壳后有自校验,打开程序又自动退出

如图,UPX的壳,脱壳简单
脱壳后的样子




程序可以运行,但是运行后自动退出,下了好多断点找不到关键的跳转
附件在这里


xdr 发表于 2015-7-8 22:03

004248D1   /EB 2B         JMP SHORT 004248FE
004248D3   |90            NOP
004248D4   |90            NOP
004248D5   |90            NOP

0040348B   /EB 2B         jmp Xunpack_.004034B8
0040348D   |90            nop
0040348E   |90            nop
0040348F   |90            nop
00403490   |90            nop

应该是取文件大小,反正跟进窗口事件里可以看到判断,退出用的是.销毁,所以会找不到关键点

菩萨印第十式 发表于 2015-7-9 09:38

这个 我是小白····不过这个不是免费使用的么? 有功能限制么?

billbox 发表于 2015-7-9 12:03

脱壳后慢慢跟 一般这种暗桩不会太深

vigers 发表于 2015-7-9 12:24

菩萨印第十式 发表于 2015-7-9 09:38
这个 我是小白····不过这个不是免费使用的么? 有功能限制么?

免费用的软件,没有限制,

vigers 发表于 2015-7-15 22:27

本帖最后由 vigers 于 2015-7-15 22:36 编辑

xdr 发表于 2015-7-9 09:59
004248D1   /EB 2B         JMP SHORT 004248FE
004248D3   |90            NOP
004248D4   |90      ...
按照你的方法可以干掉退出,能不能说一下思路,或者弄个教程。不是很明白{:5_116:}啥是跟进窗口事件,销毁是什么
页: [1]
查看完整版本: UPX脱壳后有自校验,打开程序又自动退出