拖入PIED分析, 发现加了UPack壳

拖入OD内显示如下，不停的单步往下跳

如果遇到这种大跳转则直接F4到下面

直到碰到这个地方, 这里红色的箭头都是在一个范围内跳转，唯一跳出这个范围的箭头是白色的。在白色箭头指向的地方下断点后运行。

果然发现跳转到了这个位置，之后观察这个je, 其会跳转到ret，可以感觉到这个retn是跳往OEP的

但是可以发现跳转没有实现

在这个大循环的过程中，在eax内看到很多API。很显然这是在构建导入表

果断在retn处下断点后运行

跳转后发现到了这个位置，看到这里不要慌。可以用OllyDump也可以用LordPE来dump出来，这里应该就是OEP了。

选中对应进程后先修正下镜像大小:

然后选择完整转存

转存好了。接下去修复导入表，打开ImportREC

选中这个正在调试的进程:

修改OEP成1190, 这个401190如果是OEP的话，那么它的组成应该是ImageBase(400000) + AddressOfEntryPoint(1190)。这里的OEP就是指1190即入口点RVA。

先点击自动搜索

接着点击获取输入表并点击修复转存文件。这个转存文件就是我们刚刚用LordPE转存下来的dumpped.exe。

选中然后打开即可

这里就显示成功了

现在再来看看PEID:

查看一下PE来对比下内容:

脱壳前连导入表都无法显示:

脱壳后的导入表:

对了，在修复导入表时还可能遇到类似于这种情况, 有无效的导入表，这怎么办

点击显示无效函数:

在上面右击后直接选删除即可。

接下来的步骤还是一样:

(完)

恶意软件分析实战15-UPack脱壳Lab18-5相关推荐

1. 恶意代码分析实战 15 加壳与脱壳

   分析样本Lab18-01.exe到Lab18-05.exe. 15.1 Lab18-01 将程序拖入PEiD. 使用深度搜索,发现是UPX的壳. 拖入OD中进行脱壳.手动脱壳的目的就是找到OEP也就是 ...

2. 恶意软件分析实战02-分析3个恶意程序

   1. Lab03-01 vt上一搜发现鉴别为恶意软件. 拖到PEID内一查,加了一个壳PEncrypt 3.1 Final -> jnukcode. 我好气,脱了我一个多小时没脱下来.想想算了, ...

3. ArcGIS水文分析实战教程（15）库容和淹没区计算

   ArcGIS水文分析实战教程(15)库容和淹没区计算 本章导读:虽然前面已经有章节论述过书库库容计算,但在这里笔者还是需要对整个流程做系统的描述.这部分内容属于水文分析的进阶部分,不再停留在基础的河流 ...

4. 15 OpenCV4图像处理与视频分析实战（50.背景分析-）

   15 OpenCV4图像处理与视频分析实战(50.背景分析-) 一.50.背景分析- 来自网易云课堂(贾志刚) 一.50.背景分析- 大家我们就从中呢学会了一些东西,我们如果想把一些就是呃,更多的一些 ...

5. 15 OpenCV4图像处理与视频分析实战（49.基于颜色的对象跟踪-.）

   15 OpenCV4图像处理与视频分析实战(49.基于颜色的对象跟踪-) 一.49.基于颜色的对象跟踪-. 二,代码 来自网易云课堂(贾志刚) 一.49.基于颜色的对象跟踪-. 二,代码 #inclu ...

6. 《Spark商业案例与性能调优实战100课》第15课：商业案例之纯粹通过DataSet进行电商交互式分析系统中各种类型TopN分析实战详解

   <Spark商业案例与性能调优实战100课>第15课:商业案例之纯粹通过DataSet进行电商交互式分析系统中各种类型TopN分析实战详解

7. 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...

   1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...

8. 恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器

   为什么80%的码农都做不了架构师?>>>    基本信息 作者: (美)Michael Hale Ligh    Steven Adair    Blake Hartstein    ...

9. MS08067 第一期 “恶意代码分析”实战班 正式开班~

   文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...

10. 恶意代码分析实战Lab1

    第一章静态分析基础技术 恶意代码分析实战 恶意代码样本下载 1.1反病毒引擎扫描 1.2哈希值 1.3查找字符串 1.4加壳与混淆恶意代码 1.5PE文件格式 1.6链接库与函数 1.7静态分析技术实 ...

最新文章

1. 【2018-01-22】HTML-表单及表单元素
2. 北大港大，都将落地深圳！
3. 全球首个塑料ARM芯片登上Nature，成本仅同类硅芯片1/10
4. 自学python入门-自学Python编程基础学习笔记 PDF 完整超清版
5. python和java哪个-Python与Java-你首选哪个？
6. SQL语句，统计一段时间内有多少个工作日
7. 两种方法实现在HTML页面加载完毕后运行某个js
8. java final 方法重载_java方法重载和覆写的定义,static和final修饰符的讲解,java面试题...
9. 1600: 卡斯丁狗要吃糖葫芦-回文串
10. 用GDI+转BMP为WMF、EXIF、EMF格式
11. 逻辑分析推理（戴帽子问题）博弈
12. Spring Cloud 全家桶 入门介绍
13. 英特尔商用攻略升级：企业如何趟平信息化建设这条路？
14. 前端面试常考的手写代码不是背出来的！
15. 持续集成（一）思想篇
16. oracle time model,通过案例学调优之--OracleTimeModel（时间模型）
17. python爬虫网易云音乐最热评论并分析_Python3实现爬虫抓取网易云音乐的热门评论分析（图）...
18. 学习Unix其实就这样简单
19. Django项目实践2 - Django模板（view-html）
20. 学习笔记--对最近学习的总结

热门文章

1. [转]《牵一只蜗牛去散步》台湾 张文亮
2. 计算机删除默认共享怎样操作,清除windows默认共享方法
3. 使用web-play开发web应用
4. 条件运算符 c语言,C语言 —— 条件运算符
5. Linux+v4l2自动设置相机曝光时间
6. socket+threading实现python多人局域网聊天室
7. c语言从入门到弃坑,从入门到放弃？《全面战争：三国》是怎么让我半小时内弃坑的...
8. 云片网发送短信验证码
9. 《When you are old》一如苇中的风，轻柔却难忘
10. Vue基础语法之@click、时间修饰符@click.stop与@click.prevent、按键修饰符（如@keyup.enter）