网站 › 『=逆向图文=』 › [UPX/ASP秒脱] 一步直达OEP

PS_URINE 发表于 2014-10-12 14:01

[UPX/ASP秒脱] 一步直达OEP

本帖最后由 PS_URINE 于 2014-10-12 14:05 编辑

这是个加UPX的程序：

国际惯例，OD载入

我们看一下第一行，pushad进栈~，对应的，这个区块中就应该有个出栈 popad

Ctrl+F搜索 popad

我们要搜索的是当前区块的命令，因此“整个块”不要勾选，以免找到多余内容

来到这里后，按下F4，让程序运行到这一行

F8单步向下走，遇到向上的跳转，选择它的下一行，按F4








几步之后，走到了一个距离很大的JMP，有可能是直接跳到了OEP

F8单步走，来到了易语言的OEP


怎么分辨是否是OPE呢？请参照：https://www.52hb.com/thread-205-1-1.html


我们用DUMP插件脱壳

[重建/不重建]输入表，[方式1/2]脱壳



得到4个脱壳后的程序

发现只有一个可以打开，其余的删除


脱壳完成！


不过，比起5秒钟才能完成的手工脱壳，为什么不用2秒种就可以完成脱壳机呢？

吾爱汇编论坛原创，转载请注明出处

邪恶小志 发表于 2014-10-12 14:05

小强 发表于 2014-10-12 14:36

学习了非常完美

夜幽魂 发表于 2014-10-12 14:42

学习了很不错的教程

WyM 发表于 2014-10-12 15:06

希望能看到更多系列教程

Call 发表于 2014-10-13 12:28

很详细的教程学习了

Shark恒 发表于 2014-10-13 14:15

真不错，希望看到楼主继续分享发布~

能隐能显 发表于 2014-10-13 15:58

很不错的教程

Cari 发表于 2014-10-13 17:44

SFX秒到{:6_208:}

暗淡辉煌 发表于 2014-10-14 11:31

不错学习了

查看完整版本: [UPX/ASP秒脱] 一步直达OEP