UPX脱壳(2)

大家好，又见面了，我是你们的朋友全栈君。

很多壳是没法用Ollydump弄好的，所以需要用其他的工具

这里的工具是：PETools和Import REConstructor

先按照UPX脱壳的方法，找到OEP

UPX脱壳(2)

现在已经到达了OEP

用PETools来实现程序的DUMP

UPX脱壳(2)

找到对应的程序，完整转存，保存好久可以运行了~~~

但是，当我们换个版本的PETools~

UPX脱壳(2)

dump成功后，运行程序

UPX脱壳(2)

程序竟然报错了~~~

（论工具的重要性）

这个时候就需要用到Import REC了

首先在程序里找到IAT的位置

UPX脱壳(2)

先点击自动查找IAT，获取输入表

然后手动检查下：OEP应该是00001000（相对偏移RVA）

UPX脱壳(2)

3180是IAT的RVA

然后一直往下看，查看IAT的大小

UPX脱壳(2)

所以终点是3290（UPX是最简单的壳，IAT是存在同一个地方的，很多高级壳IAT可能有错误，也可能存在不同的地方，需要一段一段处理）

所以SIZE = 0x3290 – 0x3180 = 0x110

然后看一眼输入表函数信息，有没有无效的

UPX脱壳(2)

点击转储到文件（刚才的DUMP文件）

UPX脱壳(2)

这时候还是报错，我们需要再使用一次PETools

UPX脱壳(2)

选择Rebuild PE，选中刚才的DUMP文件

UPX脱壳(2)

再执行程序，发现可以正常运行了~~~

UPX脱壳(2)

附上实验的程序和工具~

OD可以从52pojie或者看雪下载咯~

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/159792.html原文链接：https://javaforall.cn