upx3.08 自校验绕晕了
快一年没接触OD了,功力大减{:5_118:},近日打算用eBook Workshop v3.0制作电子书, 测试了一页编译后生成的电子书有upx3.08压缩壳,一向看不起这个壳,脱了再说。还好ESP定律还是会用的{:5_121:},快速脱壳。未曾想,脱壳后,无打打开,还好作者还来了个友情提示: "eBook Read Error!",一看就是文件自校验了哇。试试脱壳脚本、脱壳机看看灵不灵,一样一样的,各种版本的UPX脚本及脱壳机,都试过了,效果是一样一样的。{:5_191:}在OD中跟了一下,发现一处,可疑。
004CD5E1 /75 04 JNZ SHORT 004CD5E7
004CD5E3 . |C645 FF 01 MOV BYTE PTR SS:, 0x1
004CD5E7 > \33C0 XOR EAX, EAX
再跟下去,发现还有好多问题。后面跟到
好多处调用。好久不碰这东东了,晕了。来个大牛指点下迷律吧。什么下断 CreateFileAor CreateFileW,文件大小比较等,都试过了。
附小程序:
我也找到一个地方,不过不清楚是不是可疑的地方,楼主可以参考一下,有不对的地方,欢迎纠正
004CDD3E /EB 2D jnz short dumped_.004CDD6D
Amoying 发表于 2016-8-18 21:28
我也找到一个地方,不过不清楚是不是可疑的地方,楼主可以参考一下,有不对的地方,欢迎纠正
004CDD3E ...
这个也太明显了吧,跳过没有用的呢{:5_121:} 不知道是什么鬼,,
soncy88 发表于 2016-8-18 21:52
不知道是什么鬼,,
哇,大大牛B啊,我之前分析了蛮久的。。。去没有一点头绪,能简单说一下怎么去的校验吗 lmzdq 发表于 2016-8-18 21:42
这个也太明显了吧,跳过没有用的呢
{:6_224:}这玩意就是欺负我们小白 soncy88 发表于 2016-8-18 21:52
不知道是什么鬼,,
这个代码缺失了,我也分析到过这一步。跳过了不该跳的代码,只留下了个空壳。 lmzdq 发表于 2016-8-18 22:02
这个代码缺失了,我也分析到过这一步。跳过了不该跳的代码,只留下了个空壳。
好像是的,,不想弄了。感觉就在那个CALL里 soncy88 发表于 2016-8-18 22:06
好像是的,,不想弄了。感觉就在那个CALL里
{:5_188:},这个会不会是crc32校验,或是文件大小校验,一年多没碰OD了,好多都忘记了。 lmzdq 发表于 2016-8-18 22:08
,这个会不会是crc32校验,或是文件大小校验,一年多没碰OD了,好多都忘记了。
下CreateFileA断点,双开OD 对比吧,,。。我没耐心跟貌似是比较大小
页:
[1]
2