标签:删除 href jmp upx Stub 断点 iat 完成 设置
查壳
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo
upx这类压缩壳手动脱壳非常简单。
一、查找oep
way1:
首先在程序入口发现pushad指令,接下来可以直接查找指令popad
在jmp指令处下断,运行。
jmp之后来到oep
way2:
当然可以在单步pushad后,转到esp的内存窗口,设置硬件断点,运行,找到jmp处。
运行后会在popad指令后停下
跟踪jmp将转到oep
在x64dbg下使用Scylla
删除掉失效函数。
最后
脱壳完成。
如果没有修复,直接运行程序可能会报错
修复IAT后程序便可以正常运行。[fix dump]
标签:删除 href jmp upx Stub 断点 iat 完成 设置
原文地址:https://www.cnblogs.com/DirWang/p/12234943.html
