脱壳:上兴的WinUpack 0.39 final -> By Dwing

pop:其实没有什么技术含量,主要是要注意一下OD的版本,要不会提示出错。

手脱上兴的WinUpack 0.39 final -> By Dwing壳

具体步骤如下:

OllyICE里 报告同样的错误,可执行的win32程序格式错误或者未知。不管他点确定,然后报告

内存无法分配xxxx字节,不管他,点确定。这下就正常了来到入口点

00401018 > BE B0114000 mov esi, 004011B0

F8一下就跑到
0040101D AD lods dword ptr [esi]

他的oep就是这个esi值 看下面的esi值
ds:[esi]=[004011B0]=00401430 esi=00401430

按ctrl g输入00401430确定,然后F4运行到这里,程序在程序里跑了几下就停止住了

00401430 68 08804000 push 00408008 ; ASCII "VB5!6&vb6chs.dll"
00401435 E8 F0FFFFFF call 0040142A ; jmp 到 MSVBVM60.ThunRTMain

00401430就是oep了 用od自己带的脱壳功能dump出来,不关od,然后运行脱壳后的程序。
报错,需要修复, 拖出ImportREC选中od加载生成器的进程,输入刚脱壳时的OEP地址进行iar

自动搜索,弹出可能发现原始的iat地址,确定,获取输入表。一个有效,修复刚dump的程序,

然后运行正常,用peid查显示为Microsoft Visual Basic 5.0 / 6.0 和我前面猜的一样

测试软件下载:
http://xdowns.com/soft/softdown.asp?softid=36311

动画教程:
http://www.3800hk.com/donghua/d/17287.html

Related Posts