请问:upx的双层壳怎么脱第2层?
PEiD显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & LaszloOD载入,停在007DCDE0 >60 PUSHAD
F8一下,ESP=0012FFA4 ,下硬件断点,hr 0012FFA4,
F9,停在007DCF55^\E9 3A81F1FF JMP msched.006F5094
F8走一步,停在006F5094 55 PUSH EBP
在这里DUMP,保存文件!
再次用PEiD检查,显示:什么也没发现,选择“深度扫描”,显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo,这个是不是upx的双层壳啊?
再次用ESP定律脱壳,hr 0012ffc0,硬件断点居然断不下来!
请问这个壳怎么脱? 你是脱壳后不能运行? 入口点多给看几条代码啊...
btw 不要迷信PEiD,如果已经可以分析就够了呗
页:
[1]