解壓縮過程
1.查殼發現是WinUpack殼,OD載入失敗,點擊確定時,OD停留在ntdll.dll中,用stud_pe工具打開,發現EP爲00001018
2.在OD中,跳轉到EP,選中ep,右鍵-》new origin here,調式
3.接下來看解壓縮的過程,壓縮的時候把數據都壓縮到第二個節區中,解壓縮的過程會把這些數據放到第一個節區中
4.單步,初始化eax,值爲notepad的Oep,運行到0101fd18,爲解壓縮函數,該函數多次被調用
5.edi爲第一個節區的地址,在解密函數中單步,發現了往edi中寫入數據的代碼段。
6.接着寫入IAT,完成解壓縮
參考資料:
《逆向工程核心原理》