UPX魔改及修复

这个后面应该会增加，目前只记录遇到的

1.改特征的UPX

先看看正常的UPX：

会发现里面有UPX0,UPX1等特别的字符，将其修改，就不能直接用UPX脱壳了

我把他们都改成6666

自动脱壳就会报错：

拖进die看看

可以看到他不仅能识别到是UPX壳，还能识别出来可能修改的地方

将其修改回来：

就正常脱壳了：

2.修改入口点；

使用xdbg打开，然后把入口点的push全部nop

保存下来：

自动脱壳就失效了

放进die中：

仍然会被发现，而且显示了原因

那如果同时nop和修改特征呢？

仍然会被发现，改的太低级了

这里有个疑问，为什么把入口点全部nop，程序仍然能正常运用，而且这样堆栈也不平衡了啊？

3.花指令

没见到，先占个位