Time: 2014-11-09 Tag: OD OllyDBG 手动脱 Upack 0.39 beta -> Dwing

1.查壳
用PEID查了一下Upack 0.39 beta -> Dwing

2.脱壳。
用OllyDRX载入。

00401018 S>  BE B0114000               MOV ESI,SQLyogEn.004011B0        //载入停在这
0040101D     AD                        LODS DWORD PTR DS:[ESI]
0040101E     50                        PUSH EAX
0040101F     FF76 34                   PUSH DWORD PTR DS:[ESI+34]       //这里ESP改变为0012FFC0,下断点HR ESP,后直接F9运行。
QQ截图20141109200530.jpg


00401022     EB 7C                     JMP SHORT SQLyogEn.004010A0

ESP定律直接就停在了OEP上
005E2054     6A 60                     PUSH 60                          //到达OEP,查看下面的代码IAT也已经全部还原了
005E2056     68 A0CF6200               PUSH SQLyogEn.0062CFA0

005E205B     E8 D04E0000               CALL SQLyogEn.005E6F30


部分也有可能直接到 55- DB55的情况,在这里直接 分析->从模块中删除分析->直接到

QQ截图20141109200251.jpg

QQ截图20141109200317.jpg

QQ截图20141109200327.jpg


用LordPE进行dump,并用ImportREC进行修复IAT,得到脱壳后的版本。