WinUpack 0.37-0.39脱壳教程小白不会求教
小白第一次看到这个壳WinUpack 0.37-0.39没见到论坛有教程!!!请大家教教我。好像还有重新定位顺便也录下来。{:5_121:}咱们论坛查壳软件有点小问题
拖进oD
1019AF24 >60 pushad
1019AF25 E8 09000000 call 3ee6c34.1019AF33 //F8单步一下下内存断点 F9运行
1019AF2A A2 AD1900E9 mov byte ptr ds:,al
1019AF2F 06 push es
1019AF30 0200 add al,byte ptr ds:
1019B13A- E9 DC2FF2FF jmp 3ee6c34.100BE11B //F8单步一下到达OEP
1019B13F 2C 01 sub al,0x1
1019B141 72 08 jb short 3ee6c34.1019B14B
1019B143 74 0A je short 3ee6c34.1019B14F
1019B145 C1E0 08 shl eax,0x8
1019B148 AC lods byte ptr ds:
1019B149^ EB E8 jmp short 3ee6c34.1019B133
1019B14B 66:AD lods word ptr ds:
1019B14D^ EB E4 jmp short 3ee6c34.1019B133
1019B14F AD lods dword ptr ds:
1019B150^ EB E1 jmp short 3ee6c34.1019B133
100BE11B 55 push ebp //删除分析模块-删除断点 传说的OEP保存
100BE11C 8BEC mov ebp,esp
100BE11E 53 push ebx
100BE11F 8B5D 08 mov ebx,dword ptr ss:
100BE122 56 push esi
100BE123 8B75 0C mov esi,dword ptr ss:
100BE126 57 push edi
100BE127 8B7D 10 mov edi,dword ptr ss:
100BE12A 85F6 test esi,esi
100BE12C 75 09 jnz short 3ee6c34.100BE137
100BE12E 833D 48281210 0>cmp dword ptr ds:,0x0
100BE135 EB 26 jmp short 3ee6c34.100BE15D
100BE137 83FE 01 cmp esi,0x1
100BE13A 74 05 je short 3ee6c34.100BE141
100BE13C 83FE 02 cmp esi,0x2
100BE13F 75 22 jnz short 3ee6c34.100BE163
100BE141 A1 C83F1210 mov eax,dword ptr ds:
100BE146 85C0 test eax,eax
100BE148 74 09 je short 3ee6c34.100BE153
100BE14A 57 push edi
100BE14B 56 push esi
100BE14C 53 push ebx
100BE14D FFD0 call eax
100BE14F 85C0 test eax,eax
100BE151 74 0C je short 3ee6c34.100BE15F
至于存不存在重定位 没有软件经行测试 无法得知
文件
刚刚忘记给文件了补上 https://share.weiyun.com/5iRH0KP 分析过程呢 去看看我的帖子吧,对你有所帮助! 拖进软件,重定位,搞定 本帖最后由 ww113908777 于 2018-9-10 13:35 编辑
不是有一个教程有吗,自己看呀
https://www.52hb.com/thread-39653-1-1.html
jenkins 发表于 2018-9-10 12:25
拖进软件,重定位,搞定
我不信 {:5_188:} E少 发表于 2018-9-10 16:38
我不信
试试就知道,反正这种压缩壳可以
页:
[1]
2