Ollydbg,OD手动脱Upack 0.39 beta -> Dwing

2014年11月09日技术资料 9446 views 0

1.查壳。
用PEID查了一下Upack 0.39 beta -> Dwing

2.脱壳。
用OllyDRX载入。

00401018 S> BE B0114000 MOV ESI,SQLyogEn.004011B0 //载入停在这
0040101D AD LODS DWORD PTR DS:[ESI]
0040101E 50 PUSH EAX
0040101F FF76 34 PUSH DWORD PTR DS:[ESI+34] //这里ESP改变为0012FFC0，下断点HR ESP,后直接F9运行。

00401022 EB 7C JMP SHORT SQLyogEn.004010A0

ESP定律直接就停在了OEP上
005E2054 6A 60 PUSH 60 //到达OEP，查看下面的代码IAT也已经全部还原了
005E2056 68 A0CF6200 PUSH SQLyogEn.0062CFA0

005E205B E8 D04E0000 CALL SQLyogEn.005E6F30

部分也有可能直接到 55- DB55的情况，在这里直接分析->从模块中删除分析->直接到

用LordPE进行dump，并用ImportREC进行修复IAT，得到脱壳后的版本。

👍好活当赏🧧

推荐文章

Win10/11 隐藏文件资源管理器和保存/打开对话框中的主文件夹、图库和OneDrive图标（自用亲测有效，猛攻）2025年08月20日
Windows Defender Credential Guard不允许使用已保存的凭据。请输入你的凭证2025年06月24日
Win11系统默认硬盘分区显示Bitlocker已加密怎么解决？2024年11月02日
宝塔面板升级openssl到1.1.1a并开启tls1.3，解决win7 IE浏览器无法打开tslv1.3方法2023年07月28日
linux下Shell删除文件命令详解2023年07月28日
给你的HTML页面加一个访问密码2023年07月13日
HTML增加页面刷新及其应用例子2023年07月13日
联想yoga14s开机黑屏键盘灯亮解决方法2023年07月08日

注意：

》贝壳PE企业版 3.98 最终版V20260331已发布；

1、去掉所有注册机制，可本地永久运行！

停服公告：

随着年龄的增长，生活的变化，已经逐步开始退出研发网络了。iT猫也准备渐渐退网。退网后，网站也将无法再访问，近期会把带有注册机制的产品改为永久本地无限制模式，大家多关注最新版本。这不是落幕，这是我新的开始，生活不止眼前苟且还有诗和远方！如有更多的问题可以发邮件或者加QQ：845532699@qq.com

By iT猫itcat.cn 宣