upx脱壳问题
本帖最后由 moshengdada 于 2022-4-24 14:45 编辑问题描述:脱upx的壳子,用upx脱壳工具脱壳和手动脱壳的区段不一样 不知道是我脱壳方法的问题还是什么问题,如果是我方法的问题恳请各位老师给个教程 如果不是我脱壳问题能不能讲讲为什么不一样 感谢了!
自我分析:我用一个esp定律到达了OEP 然后用LordPE和ImportREC进行脱壳 但是脱出来感觉不太对?
问题配图 :
病毒查杀截图或链接:
下载链接:https://wwi.lanzoup.com/i359v03oj31g
程序本身就是Delphi写的,所以无壳状态下默认区段是code、data……加了upx后,由于是压缩壳,除了加壳后体积变小,upx会把一些区段合并成一个,比如你看到的upx0、upx1,就是upx把区段合并了。
手动脱壳后,使得程序解码,dump后的程序与原未加壳的程序大小相同或者相近,但是不能保证区段能够完全还原……这就是为什么,手动脱壳后,仍然显示upx0、upx1。
你的手动脱壳方法没有问题, .mackt区段是手动脱壳并修复后增加的区段。 boot 发表于 2022-4-24 15:13
程序本身就是Delphi写的,所以无壳状态下默认区段是code、data……加了upx后,由于是压缩壳,除了加壳后体 ...
明白了,感谢! moshengdada 发表于 2022-4-24 15:15
明白了,感谢!
印象里,压缩且合并区段的壳,我记得有upx、PECompact等。
其他的壳,大部分是添加新区段,并加密原有区段。 谢谢分享哈
页:
[1]