zoukankan      html  css  js  c++  java

  • UPX(-)[modified] 脱壳

    查壳:UPX(-)[modified] 脱壳

    入口点,经典pushad指令,可以根据esp定律跟oep,这里直接搜索popad指令

     

    ctrl+f  --popad,搜到2条

    第一条popad下断,f9运行

    跳过循环,jmp处下断,f9运行

     

    f7步进来到OEP

     

     使用scylla插件dump

     

    发现一条无效IAT,先delete,dump保存,f9运行,暂停,在无效地址处设置运行点,f8单步,发现最后调用user32.CallNextHookEx

     

    修改此IAT

     

     

    FIX

     

    再次查壳

     

     运行

    ps:那个无效IAT可能是模拟某api,不跟啦,简单测试了下程序,主体正常;
  • 相关阅读:
    Ajax请求参数解释
    下拉菜单:‘点击外面关闭’的解决方案
    nc
    telnet
    arping
    traceroute
    ping
    ss
    netstat
    ip
  • 原文地址:https://www.cnblogs.com/DirWang/p/15182004.html
Copyright © 2011-2022 走看看