这个程序其实没什么好写的,但是可以用来做一下壳入门的尝试,又作为一次比较标准的脱upx壳的经验,还是可以看看。
exeinfo直接爆了标准的upx壳。
这种标准的upx壳,可以直接采用最粗暴的方法,直接upx -d
就直接出来
。
但作为标准的upx,手动脱脱。
来到程序内部,明显的push 堆栈平衡操作
执行之后,注意到ESP和EIP为红色,这里就直接在ESP上面下一个HWbreak,硬件断点
来到这,是OEP的位置,但还是看到很多乱码,没事,分析里面删除模块分析
就出来了解压后的程序
,本来这里用插件可以直接dump
。
但脱出来的东西有些问题
查了一些资料,说是因为在win7及其之上用了ASLR(这后面细讲),导致出现问题,直接打开xp虚拟机,一样的步骤
就可以出来一个可以用的脱壳的程序。
在win10里面也是正常的。
分析也是正常流程,看一下字符串,找到
这里应该是正确的,跟进
来到这里,如果正确的话这个jnz不会跳,所以在jnz下断点,
可以看到将要实现,我们nop掉
出现,爆破成功。
算法也没什么逆的,明文存储的。
