查壳

image-20240520205924221

是 upx 工具的壳

手动脱壳

  1. OD 打开

    image-20240520210017372

  2. 定位到 PUSHAD

    image-20240520210134796

  3. ESP 定律,下个断点

    image-20240520210237057

  4. 找到 POPAD,找到入口点 OEP

    image-20240520210458512

  5. Dump 出 exe 文件

    image-20240520210533260

  6. 修补 IAT 表

    image-20240520210637163

  7. 成功脱壳

    image-20240520210738996

工具脱壳

工具:UPX

可以使用 upx -d xxx.exe 直接脱壳

反汇编

找到关键函数

image-20240520211243016

分析可得 flag: HappyNewYear!