手脱 WinUpack 0.39 final -> By Dwing 。。。因为想逆向一个东西,无奈,程序加了壳,
IDA 不能识别出里边的一些东西,所以拿起 OD ,开始脱壳。。。这是一个压缩壳,基本上一路 F8
然后就会 有一个 ret ,返回就是了:
004FE752 2BC7 sub eax,edi
004FE754 AB stos dword ptr es:[edi]
004FE755 ^ E2 E5 loopd short 目录监控.004FE73C ,经过这里后,返回就到了
004FE757 5E pop esi
004FE758 5D pop ebp
返回后:
004537ED 55 push ebp ; kernel32.GetProcAddress
004537EE 8BEC mov ebp,esp
004537F0 6A FF push -1
004537F2 68 E04B4800 push 目录监控.00484BE0
004537F7 68 BC814500 push 目录监控.004581BC
004537FC 64:A1 00000000 mov eax,dword ptr fs:[0]
00453802 50 push eax
00453803 64:8925 00000000 mov dword ptr fs:[0],esp
0045380A 83EC 58 sub esp,58
0045380D 53 push ebx
0045380E 56 push esi
0045380F 57 push edi
00453810 8965 E8 mov dword ptr ss:[ebp-18],esp
00453813 FF15 4C434700 call dword ptr ds:[47434C] ; kernel32.GetVersion
00453819 33D2 xor edx,edx
dump 下来,修复就 OK 了。。。