UPX变形+再战GetVersion+去除自校验
本帖最后由 网动的心 于 2014-11-9 22:59 编辑大家好 我是网动的心
闲话不多说了,开始我们今天的教程吧。
顺便说一下我们的论坛地址:www.xuepojie.com
这次我带来的教程是UPX变形+再战GetVersion+去除自校验
我就是看看那个朋友到底能不能结帖---开个玩笑
今天的教程比较简单,UPX的壳本来很简单的,结果我脱这个壳用了至少30分钟。
我们先来查壳吧
UPX-Scrambler RC1.x -> ㎡nT畂L说实话刚刚拿到这个软件的时候还真没拿他当回事 但当我调试的时候着实让我吃 一惊
我们OD载入 大家看我的操作吧 实在不想码字了
吃惊的原因就是巨卡
00CE6BEF >90 nop
00CE6BF0 61 popad
首先看到的是NOP 这个其实我现在明白了点他改的啥东西了,留个今天的作业吧 他改了什么东西
看到吗 单步一下就这样了CPU100%
继续还是一样 还好这个是UPX的壳 我们可以用最低级的办法搞定他
这样就来到了OEP
脱好了,我们来运行一下
程序运行一下就没有了 根据鲨鱼的教程我们知道这个是因为自校验
我们要找出出错的地方
0041C087 E8 F0DF0000 call Unpack_.0042A07C
0041C08C 83C4 18 add esp,18
0041C08F 3D B8350800 cmp eax,835B8
0041C094 7F 52 jg short Unpack_.0041C0E8
典型的比较 接着就是跳转 835B8通过上面的函数我们有理由怀疑就是这个地方 537,600538040基本接近
为了证实我们的判断 我们把源程序打开看一看
源程序对应的41c08C是空白代码 我们不要忘了 这是因为有壳的缘故
看到了吗 源程序没有跳转脱壳后的跳转了
那么就很简单了修改有2种方案直接NOP
另外一种 我就不讲了 留个作业吧
或者你有更好的办法也可以提出来 我们一起讨论吧
教程就到这里吧 再见
**** Hidden Message *****
几天我看到有位朋友说,怎么又是回复可见,看到这样的语言我实在不想多说什么,我只能说你这种人不配看我的教程。鄙视你!!{:6_199:}
看了最后一句话,我默默的把地址设置成回复可见了……感谢网动的心原创制作!
昂。。。。地址是不是不屏蔽了。。?
Shark恒 发表于 2014-11-9 22:39
看了最后一句话,我默默的把地址设置成回复可见了……感谢网动的心原创制作!
感谢老大的理解与支持 谢谢 让我很感动 本来我想不弄回复可见了以堵住某些人的悠悠之口
云里雾里的
支持你啦~还有一星期月考,完全无心搞逆向
回复支持下 心大大
感谢楼主的教程,学习了{:5_124:}
PS_URINE 发表于 2014-11-9 22:45
支持你啦~还有一星期月考,完全无心搞逆向
还是要以学业为重 好好学习吧 祝你考给好成绩
扫地僧 发表于 2014-11-9 22:57
支持心大大,我是看着你的教程长大的
他今年12岁。。。