浅学UPX魔改壳
UPX标志位被修改
首先我们需要一个 hex 编辑器,我这里用的是 \(010editor\) 。
先打开一个正常带 \(UPX\) 壳的文件看看。
其中右边的 UPX0 、UPX1 、UPX2 、UPX!就是 UPX 的标志位,如果我们修改这三个标志位,则无法正常脱壳。
例如改成这样
拿 hex 编辑器查看带 UPX 壳文件时候,UPX 的标志位一般都位于开头,可以比较容易的发现是否被修改。
使用编辑器把修改后的标志位改回去即可正常脱壳。
首先我们需要一个 hex 编辑器,我这里用的是 \(010editor\) 。
先打开一个正常带 \(UPX\) 壳的文件看看。
其中右边的 UPX0 、UPX1 、UPX2 、UPX!就是 UPX 的标志位,如果我们修改这三个标志位,则无法正常脱壳。
例如改成这样
拿 hex 编辑器查看带 UPX 壳文件时候,UPX 的标志位一般都位于开头,可以比较容易的发现是否被修改。
使用编辑器把修改后的标志位改回去即可正常脱壳。
浙公网安备 33010602011771号