脱upx的四种方法（Four methods of removing upx）.docVIP

脱upx的四种方法（Four methods of removing upx） --------------------------------------------------------------------------------- 手脱UPX的四种方法 首先，查壳，使用PEID是UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus 拉斯洛，使用FI为UPX V1.08 接下来用OD载入，提示为”压缩代码是否继续分析”，我们选择否 我在这里介绍几种方法，请看我的操作。 方法1：单步跟踪（最常见的方法） 0040e8c0 n＞60 pushad /停在这里了，我们F8单步 0040e8c1是15b04000 MOV ESI，notepad.0040b015 0040e8c6 8dbe eb5fffff LEA EDI，DWORD PTR DS：[ ESI + FFFF 0040e8cc 57推EDI 0040e8cd 83cd FF或EBP，ffffffff 0040e8d0 EB 10 JMP短notepad.0040e8e2 /跳 》》》》 0040e8e2 8b1e mov ebx，DWORD PTR DS：[公司] / /跳到这里 0040e8e4 83ee FC子-，- 4 0040e8e7 11db ADC ebx，EBX 0040e8e9 ^ 72版JB短notepad.0040e8d8 /这里要往回跳了 0040e8eb B8mov eax，1 / / F4，然后继续F8 0040e8f0 01db添加ebx，EBX 75短07 0040e8f2 JNZ notepad.0040e8fb /跳 》》》》 0040e8fb 11c0 ADC eax，eax /来到这里，F8继续 0040e8fd 01db添加ebx，EBX 0040e8fd 01db添加ebx，EBX 0040e8ff ^ 73 EF JNB短notepad.0040e8f0 75短09 0040e901 JNZ notepad.0040e90c /跳 》》》》 0040e90c 31c9 XOR ECX，ECX /跳到这里，继续F8 0040e90e 83e8 03子EAX，3 0040e90e 83e8 03子EAX，3 0040e911 72 0d JB短notepad.0040e920 /跳 》》》》 0040e920 01db添加ebx，EBX /跳到这里，继续F8 75短07 0040e922 JNZ notepad.0040e92b /跳 》》》 0040e92b 11c9 ADC ECX，ECX /跳到了这里，继续F8 0040e92d 01db添加ebx，EBX 75短07 0040e92f JNZ notepad.0040e938 /跳 》》》 0040e938 11c9 ADC ECX，ECX /跳到这里，继续F8 75短20 0040e93a JNZ notepad.0040e95c /跳 》》》》 0040e95c 81fd 00f3ffff CMP EBP，- 0d00 /来到这，继续F8 0040e962 83d1 01 ADC ECX，1 0040e965 8d142f LEA EDX，DWORD PTR DS：[ EDI +电子书] 0040e968 83fd FC CMP EBP，- 4 0040e96b 76中短notepad.0040e97c乙脑 0040e96d 8a02 MOV AL，BYTE PTR [edx] DS： 42公司0040e96f EDX 0040e970 8807乐章BYTE PTR DS：[电子]，al 47公司0040e972 EDI 月49 0040e973 ECX 0040e974 ^ 75 F7锦州短notepad.0040e96d /要往回跳了 0040e976 ^ E9 63ffffff JMP notepad.0040e8de 90 0040e97b NOP 0040e97c 8b02 mov eax，DWORD PTR [edx] DS：/ / F4，继续F8 0040e97e 83c2 04添加EDX，4 0040e981 8907乐章DWORD PTR DS：[电子]，eax 0040e983 83c7 04加EDI，4 0040e986 83e9 04个子ECX，4 0040e989 ^ 77 F1 JA短notepad.0040e97c 0040e98b 01cf添加EDI，ECX 0040e98d * e9 4cffffff jmp notepad.0040e8de / / 要往回跳了. 0040e9