【个人笔记】ximo早期发的脱壳教程——手脱UPX壳
壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳。
手脱UPX壳:
工具:ExeinfoPE、OD
对象:rmvbfix
方法1:单步跟踪
将要脱的exe扔进od。
这里选择"否",不然有些操作会出现错误。
进入之后从起点开始单步执行(快捷键F8),遇到pxx注意跳跃方向,手动断点跳过往回跳的指令。
遇到这种jxx后跟call指令的一并跳过。
一直单步知道如上图这样的,跳跃跨度极大,让其跳跃后便可以到达真正的入口:
在入口我们右键便可以用od内工具进行脱壳。
这里选择方式1/2都可以。
方法2:ESP定律法
一进入要先确保硬件断点是清空状态的。
我们进行push入栈之后,在右侧寄存器里可以看到ESP有了操作,右键让其进入数据窗口。
也可以在下方指令框中输入 dd/hr ESP地址
设置硬件访问,word和Dword都可。
然后运行一下:
随后就和方法1一样继续往下走。
方法3:二次内存镜像法
可以通过菜单栏"查看—内存"或直接按m进入内存界面:
对区段".rsrc"下断点,下面的区段不用管,之下第一个rsrc,后面的是系统的区段。
下完之后运行走一步,然后回来:
回来之后在401000处再下一次
随后单步往下走,同方法1
方法4:直捣黄龙(适用于绝大部分的UPX壳和部分Aspack壳)
众所周知,push的反义词是pop,有入栈的push,必定有出栈的pop
我们查找popad,因为是pushad所以后面的ad相同,注意不用勾选整个块,因为整个块的popad绝对不止一个。
好,找到了,单步运行,同方法1
