UPX动态脱壳

发表于2023-11-17|更新于2024-02-13

|阅读量:

UPX动态脱壳

找壳的入口点，即xdbg的EntryPoint，会发现有pushad或4个push。
F8过所有push，在栈窗口中ESP右键打硬件访问断点4Bytes。F9过。
打开Scylla并附加进程。
一般pop后离真正的OEP不远了，找跳转较远的jmp，跳转地址即为真正的OEP。Scylla中输入OEP，dump到本地。
此时程序无法运行，但可IDA分析，因为IAT损坏。
Scylla使用IAT Autosearch，不要选择高级搜索。再Get Imports，再Fix Dump选择刚才dump的文件。

文章作者: Monoceros406

文章链接: http://monoceros.github.io/2023/11/17/UPX%E5%8A%A8%E6%80%81%E8%84%B1%E5%A3%B3/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 The Blog of Monoceros406！

相关推荐

Angr做题笔记

Angr符号执行笔记

C++病毒技术

CvxPy整数规划笔记

IDA在Kali Linux下的远程动态调试笔记

IDA脚本编程