1.exeinfope查下壳 upx壳无疑 2.官方工具脱壳:https://github.com/upx/upx/releases 使用命令upx.exe -d 变种壳 ida只看到一个start函数 段都变成了ZVM exeinfope回复,魔改upx 直接脱,官方工具表示脱不下来 使用16进制编辑器查看,将其特征从ZVM修改回UPX(一共三处)