删除硬件断点,然后在0041BD52 .- E9 0953FEFF JMP SimpleTV.00401060 F4,再单步就OK了。
修复后没问题。正常运行。
0041BD52 .- E9 0953FEFF JMP SimpleTV.00401060
OEP应该在00401060吧。建议下载PYG07教程认真看下。
0041BD49不是OEP
00401060才是……upx1X的壳是不用过JMP的,3X后都是过JMP才是OEP
差壳器是不分版本的
原帖由 km159 于 2008-10-22 19:49 发表 https://www.chinapyg.com/images/common/back.gif
0041BD49不是OEP
00401060才是……upx1X的壳是不用过JMP的,3X后都是过JMP才是OEP
差壳器是不分版本的
不明白,不用过JMP的话那在哪里脱呢?
0041BD52 .- E9 0953FEFF JMP SimpleTV.00401060 是这里吗啊?在这里脱壳倒是可以运行,但是PEID还是显示什么都没找到,
JMP过了后在 00401060 68 78664000 push 00406678 这里脱能查到是VB的。
还有这个是怎么判断是UPX1X还是3X后的呢?
peid只是显示upx0.89-3.x的
早期版本和3X的区别就是
0041BD49 >6A 00 PUSH 0 -------早期版本这里就是oep了
0041BD4B .39C4 CMP ESP,EAX
0041BD4D .^ 75 FA JNZ SHORT SimpleTV.0041BD49
0041BD4F .83EC 80 SUB ESP,-80
0041BD52 .- E9 0953FEFF JMP SimpleTV.00401060 ------3X的要过了这个JMP以后才是oep
ESP定律F9运行以后看有没有JMP跳转。有跳转就跳了脱,没跳转就直接脱
[ 本帖最后由 km159 于 2008-10-23 08:29 编辑 ]
谢谢楼上及楼上各位朋友的帮助。
UPX -> www.upx.sourceforge.net *
明显的UPX变形壳。LZ更新下签名档了~~~~
ESP定律大跳后,在类似OEP的下方还有一大跳........
upx unpacked
esp直接脱,我发现这个壳快到oep时会有个死循环,脱了几个都是这样,一般就是找到最近一个大跳,然后直接F4到该jmp,再F8单步一下就到oep了
PS:这个小东东看视频还真不错呢,速度挺快的.
[ 本帖最后由 toufyqin 于 2008-10-28 22:40 编辑 ]
楼主只要一个ESP定律就可以解决掉啦!