Ollydbg,OD手动脱Upack 0.39 beta -> Dwing

1.查壳。
用PEID查了一下Upack 0.39 beta -> Dwing

2.脱壳。
用OllyDRX载入。

00401018 S>  BE B0114000               MOV ESI,SQLyogEn.004011B0        //载入停在这
0040101D     AD                        LODS DWORD PTR DS:[ESI]
0040101E     50                        PUSH EAX
0040101F     FF76 34                   PUSH DWORD PTR DS:[ESI+34]       //这里ESP改变为0012FFC0，下断点HR ESP,后直接F9运行。

00401022     EB 7C                     JMP SHORT SQLyogEn.004010A0

ESP定律直接就停在了OEP上
005E2054     6A 60                     PUSH 60                          //到达OEP，查看下面的代码IAT也已经全部还原了
005E2056     68 A0CF6200               PUSH SQLyogEn.0062CFA0

005E205B     E8 D04E0000               CALL SQLyogEn.005E6F30

部分也有可能直接到 55- DB55的情况，在这里直接 分析->从模块中删除分析->直接到

用LordPE进行dump，并用ImportREC进行修复IAT，得到脱壳后的版本。

谢谢赞赏

（微信扫一扫或长按识别）

👍好活当赏🧧