Rover12421's Blog

The End.

非脱壳机秒脱UPX壳

      虽说是秒脱,但也是有条件的。只有单纯的UPX壳,没有多重壳,没有被加花或手动修改过才可以用这方法来秒脱。这方法只能算是工具的灵活使用。不多说,进入主题。今天的主角就是Restorator。

      Restorator的设置–高级里有个选项,“允许无缝 UPX 解压 (推荐)”,这个选项默然是勾选的,我们就可以利用这个功能来脱壳。

image

      Spy-Net v2.1 就是用的UPX加壳的,我们用这个来测试。用PEiD检测是:UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 。

image

      先看下大小,1.3M。然后用Restorator载入,在目录刷新下,再看下大小,已经变成3M了。

image(载入前) image (载入时)

     关闭Restorator,用PE检查下,已经脱壳完成了,检查下区段,一切正常。

image

     简简单单的几步就完成了,用Restorator载入,关闭Restorator。甚至比脱壳机还快。真的能算的上秒级的了。

      最后在说下,用PEiD检测出来是UPX,就不能说一定就是单纯的UPX,有可能加了多层壳,或用了一些其他手段。如果用这方法脱不出来,那用脱壳机基本也是没办法脱的。

Comments