其实已经是大一下刚开始的事情了,补个档
手动脱壳の新年快乐
查壳,有壳,UPX
X32dbg打开文件,查看初始断点
点击PUSHAD跟进,CTRL+*设置EIP,开始F8步过,寻找ESP寄存器第一次单个变红的地址
此时的内存窗口
开始步过
第一次步过就发现ESP单个变红,右键跟进内存窗口
然后在第一个地址的16进制数下断点
然后F9运行程序,运行后在停下的位置附近找到POPAD,随后记下JMP跳转的地址,也就是断点的地方的地址,点开xdbg上面那里的附带脱壳与修复工具
在下面IAT信息那里的OEP那栏输入刚才断点的地址
点击转储,也就是脱壳,保存脱壳后的文件,随后再点击IAT信息哪里的IAT自动搜索,然后再点击获取导入
再点击修复转储
打开刚才脱壳后的文件,这一步的作用是修复脱壳后损坏的文件
做完后自动生成的文件就是脱壳成功的文件
脱壳成功
