手脱UPX的四种方法

首先，查壳，使用PEID是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo,使用FI为UPX v1.08

接下来用OD载入，提示为“压缩代码是否继续分析”，我们选择否

我在这里介绍几种方法，请看我的操作。

方法1：单步跟踪（最常见的方法）

0040E8C0 N>  60            pushad      //停在这里了，我们F8单步

0040E8C1    BE 15B04000  mov esi,NOTEPAD.0040B015

0040E8C6    8DBE EB5FFFFF lea edi,dword ptr ds:[esi+FFFF>

0040E8CC    57            push edi

0040E8CD    83CD FF      or ebp,FFFFFFFF

0040E8D0    EB 10        jmp short NOTEPAD.0040E8E2      //跳

》》》》

0040E8E2    8B1E          mov ebx,dword ptr ds:[esi]  //跳到这里

0040E8E4    83EE FC      sub esi,-4

0040E8E7    11DB          adc ebx,ebx

0040E8E9  ^ 72 ED        jb short NOTEPAD.0040E8D8  //这里要往回跳了

0040E8EB    B8 01000000  mov eax,1                //F4，然后继续F8

0040E8F0    01DB          add ebx,ebx

0040E8F2    75 07        jnz short NOTEPAD.0040E8FB          //跳

》》》》

0040E8FB    11C0          adc eax,eax        //来到这里，F8继续

0040E8FD    01DB          add ebx,ebx

0040E8FD    01DB          add ebx,ebx

0040E8FF  ^ 73 EF        jnb short NOTEPAD.0040E8F0

0040E901    75 09        jnz short NOTEPAD.0040E90C        //跳

》》》》

0040E90C    31C9          xor ecx,ecx        //跳到这里，继续F8

0040E90E    83E8 03      sub eax,3

0040E90E    83E8 03      sub eax,3

0040E911    72 0D        jb short NOTEPAD.0040E920        //跳

》》》》

0040E920    01DB          add ebx,ebx            //跳到这里，继续F8

0040E922    75 07        jnz short NOTEPAD.0040E92B        //跳

》》》

0040E92B    11C9          adc ecx,ecx      //跳到了这里，继续F8

0040E92D    01DB          add ebx,ebx

0040E92F    75 07        jnz short NOTEPAD.0040E938        //跳

》》》

0040E938    11C9          adc ecx,ecx      //跳到这里，继续F8

0040E93A    75 20        jnz short NOTEPAD.0040E95C  //跳

》》》》

0040E95C    81FD 00F3FFFF cmp ebp,-0D00        //来到这，继续F8

0040E962    83D1 01      adc ecx,1

0040E965    8D142F        lea edx,dword ptr ds:[edi+ebp]

0040E968    83FD FC      cmp ebp,-4

0040E96B    76 0F        jbe short NOTEPAD.0040E97C

0040E96D    8A02          mov al,byte ptr ds:[edx]

0040E96F    42            inc edx

0040E970    8807          mov byte ptr ds:[edi],al

0040E972    47            inc edi

0040E973    49            dec ecx

0040E974  ^ 75 F7        jnz short NOTEPAD.0040E96D    //要往回跳了

0040E976  ^ E9 63FFFFFF  jmp NOTEPAD.0040E8DE

0040E97B    90            nop

0040E97C    8B02          mov eax,dword ptr ds:[edx]// F4，继续F8

0040E97E    83C2 04      add edx,4

0040E981    8907          mov dword ptr ds:[edi],eax

0040E983    83C7 04      add edi,4

0040E986    83E9 04      sub ecx,4

0040E989  ^ 77 F1        ja short NOTEPAD.0040E97C

0040E98B    01CF          add edi,ecx

0040E98D  ^ E9 4CFFFFFF  jmp NOTEPAD.0040E8DE    //要往回跳了。

0040E992    5E            pop esi      //这里F4，继续F8

0040E993    89F7          mov edi,esi

0040E995    B9 DD000000  mov ecx,0DD

0040E99A    8A07          mov al,byte ptr ds:[edi]

0040E99C    47            inc edi

0040E99D    2C E8        sub al,0E8

0040E99F    3C 01        cmp al,1

0040E9A1  ^ 77 F7        ja short NOTEPAD.0040E99A  //要往回跳了

0040E9A3    803F 00      cmp byte ptr ds:[edi],0  //这里F4，继续F8

0040E9A6  ^ 75 F2        jnz short NOTEPAD.0040E99A  //要往回跳了

0040E9A8    8B07          mov eax,dword ptr ds:[edi]  // F4，继续F8

0040E9AA    8A5F 04      mov bl,byte ptr ds:[edi+4]

0040E9AD    66:C1E8 08    shr ax,8

0040E9B1    C1C0 10      rol eax,10

0040E9B4    86C4          xchg ah,al

0040E9B6    29F8          sub eax,edi

0040E9B8    80EB E8      sub bl,0E8

0040E9BB    01F0          add eax,esi

0040E9BD    8907          mov dword ptr ds:[edi],eax

0040E9BF    83C7 05      add edi,5

0040E9C2    89D8          mov eax,ebx

0040E9C4  ^ E2 D9        loopd short NOTEPAD.0040E99F  //要往回跳了

0040E9C6    8DBE 00C00000 lea edi,dword ptr ds:[esi+C000> //F4继续F8

0040E9CC    8B07          mov eax,dword ptr ds:[edi]

0040E9CE    09C0          or eax,eax

0040E9D0    74 3C        je short NOTEPAD.0040EA0E

0040E9D2    8B5F 04      mov ebx,dword ptr ds:[edi+4]

0040E9D5    8D8430 14EC00>lea eax,dword ptr ds:[eax+esi+>

0040E9DC    01F3          add ebx,esi

0040E9DE    50            push eax

0040E9DF    83C7 08      add edi,8

0040E9E2    FF96 A0EC0000 call dword ptr ds:[esi+ECA0]

0040E9E8    95            xchg eax,ebp

0040E9E9    8A07          mov al,byte ptr ds:[edi]

0040E9EB    47            inc edi

0040E9EC    08C0          or al,al

0040E9EE  ^ 74 DC        je short NOTEPAD.0040E9CC

0040E9F0    89F9          mov ecx,edi

0040E9F2    57            push edi

0040E9F3    48            dec eax

0040E9F4    F2:AE        repne scas byte ptr es:[edi]

0040E9F6    55            push ebp

0040E9F7    FF96 A4EC0000 call dword ptr ds:[esi+ECA4]

0040E9FD    09C0          or eax,eax

0040E9FF    74 07        je short NOTEPAD.0040EA08

0040EA01    8903          mov dword ptr ds:[ebx],eax

0040EA03    83C3 04      add ebx,4

0040EA06  ^ EB E1        jmp short NOTEPAD.0040E9E9    //要往回跳了

0040EA08    FF96 A8EC0000 call dword ptr ds:[esi+ECA8]

0040EA0E    61            popad                  //这里F4，继续F8

0040EA0F  - E9 B826FFFF  jmp NOTEPAD.004010CC  //在这里直接跳到了OEP

》》》》

004010CC    55            push ebp      //来到这里，在此dump

004010CD    8BEC          mov ebp,esp

004010CF    83EC 44      sub esp,44

其他操作请看动画

方法2：ESP定律手动脱壳

0040E8C0 N>  60            pushad    //停在这里了，我们F8单步

0040E8C1    BE 15B04000  mov esi,NOTEPAD.0040B015 //ESP突现，0012FFA4

dd 0012FFA4回车， 断点--硬件访问--WORD，F9运行，直接来到这里

0040EA0F  - E9 B826FFFF  jmp NOTEPAD.004010CC //来到这单步就到了OEP

不详述，和方法一一样了

方法3：内存镜像法

（由于经过了方法2和方法3大家都熟悉了代码，我在这里就不写了）

ALT+M打开内存

找到.rsrc，F2下断，F9运行

。。。。。。

ALT+M打开内存

找到UPX0，F2下断，F9运行

0040EA01    8903          mov dword ptr ds:[ebx],eax//来到这，F8继续

0040EA03    83C3 04      add ebx,4

0040EA06  ^ EB E1        jmp short NOTEPAD.0040E9E9

0040EA08    FF96 A8EC0000 call dword ptr ds:[esi+ECA8]

0040EA0E    61            popad

0040EA0F  - E9 B826FFFF  jmp NOTEPAD.004010CC

其他的就不说了~请看动画。

方法4：捷径

直接CTRL+F，输入popad

0040EA0E    61            popad//F2下断，F9运行，F2取消断点，单步F8

0040EA0F  - E9 B826FFFF  jmp NOTEPAD.004010CC