ESP定律法UPX脱壳
哈哈,兴趣来了,什么东西都愿意尝试。看看别人写的技术文章,自己再上手动上一番,然后再把步骤记录下来备忘。
1.用OD载入使用UPX加过壳的记事本程序。看资料说是在提示为“压缩代码是否继续分析”的时候选择“否”,可是我选了“是”。⊙﹏⊙b汗
2.进行单步调试。当寄存器窗口中的ESP以红色突出显示时停止。
3.在ESP处右键,选择“在数据窗口跟进”。
4.在数据窗口的第一行右键,选择:断点->设置硬件访问断点->Word。
5.在OD中运行程序,此时来到反汇编代码为jmp UPX.004010CC处。
6.单步跟踪,看到push ebp,来到OEP处。
7.在OEP处右键,选择“用OllyDump脱壳调试进程”。
8.选择脱壳并保存。
10.UPX脱壳完毕。
除非另有声明,本站遵循【署名-非商业性使用-相同方式共享 3.0 共享协议】授权。
转载原创文章请注明,转载自:Neeke[http://www.ineeke.com]
最新评论