UPX脱壳后自校验怎么解决
本帖最后由 余音绕梁 于 2015-10-25 21:18 编辑程序一运行就自动退出了,是因为我把它的壳脱了,是UPX的壳放到UPX专门的脱壳工具一下脱了。
它肯定是自校验,所以下个取文件大小的断点
程序运行到这断下来了,是系统领空,直接F4出call
出来之后发现有一处跳转,当然要它实现,不然就自动关闭了
所以JMP掉
之后就各种恶心啊。
想问下个位大神,怎么过它的自校验。
下载连接:http://pan.baidu.com/s/1bn8YU0v
00442734 /0F85 05000000 jnz 11.0044273F 把这个 JNZNOP掉 即可,具体找法 请下断 CreateFileAor CreateFileW
是 BP CreateFileA或者 CreateFileW你断 GetFileSize 0043AEE1 这个call,貌似就是自效验call吧,
进去retn掉就可以打开了,后面的我没看,
其实把退出rent也可以,
0043AEE1 这个地址,下个按钮事件可以跟出来. 自然卷。 发表于 2015-10-25 21:25
0043AEE1 这个call,貌似就是自效验call吧,
进去retn掉就可以打开了,后面的我没看,
其实把退出rent也可以, ...
大神可否来个图文的教程{:5_117:} 自然卷。 发表于 2015-10-25 21:25
0043AEE1 这个call,貌似就是自效验call吧,
进去retn掉就可以打开了,后面的我没看,
其实把退出rent也可以, ...
按照大神说的找到了这个CALL并且RETN了,但是我不明白原理啊{:5_117:} 就是一个子程序效验自身大小啊
应该是大>1000就会结束吧,
我也不知道,随便看了看,
对编程不是很熟悉, 没有人发下详细的教程吗{:5_117:} 脱壳完毕后,下按钮事件 然后F9运行.然后F7跟进 下面有明显跳转 这里的代码非常明显 图就不截了思路就是这样
遇到可以跳转先断下.
然后一步步跟下去!中间有一个CALL 会有意外惊喜! https://www.52hb.com/thread-14203-1-1.html
不理解可以看看这个
页:
[1]
2