用 Ollydbg 1.10 解压 WinUpack 0.39

Posted 2023-03-22

【中文标题】用 Ollydbg 1.10 解压 WinUpack 0.39

【英文标题】：Unpacking WinUpack 0.39 with Ollydbg 1.10

【发布时间】：2021-01-23 16:02:29

【问题描述】：

我是逆向工程的新手，我正在尝试解压缩使用 WinUpack 0.39 打包的可执行文件。

打包后我启动了可执行文件，它运行良好。

当我在几条指令后在 Ollydbg 1.10 中运行它时，它给了我访问冲突的错误。我试过 shift-f9 但异常处理程序无法处理此异常。

错误发生在地址 0036FC1A 的行中 You can see the image of OllyDbg here

我该如何处理？ 谢谢你的回答

【参考方案1】：

假设您现在尝试使用 OllyDbg 解压缩 WinUpack 打包的二进制文件...

在 WinUpack 打包的二进制文件中查找 OEP 非常困难。它在拆包存根的中间，跳的距离比较短，所以很难找到尾跳。

我发现找到尾部跳转的最佳方法是在GetProcAddress 上设置一个断点，然后单步执行直到找到尾部跳转。

更多信息请参见https://www.aldeid.com/wiki/Category:Digital-Forensics/Computer-Forensics/Anti-Reverse-Engineering/Packers/WinUpack。