调试UPX压缩的notepad程序
一. 前言通过调试UPX压缩的notepade_upx.exe程序,最终找出原notepade.exe程序代码,从而进一步了解运行时压缩的相关概念最后简单说明经过UPX 压缩文件如何通过调试器
二. 原notepade.exe源程序的ep为01007390
三. notepade_pad.exe3.1加了壳的可执行文件,OEP为01015330。如下图也可知,ESI,EDI分别指向UPX1,UPX0。notepade_upx.exe放入PEView中查看,UPX0没有内容。但是UPX0节区有内存大小继续查看UPX1,该节区的相对虚拟地址为为00011000所占内存大小5000从上可以看出被压缩的数据存放在了UPX1中,解压缩时,原数据将会被存放在UPX0,这也就是upx0内存没有内容,却还预留空间的原因。
3.2 UPX范围调试循环一循环次数ECX=36B,循环内容为“从EDX(01001000)中读取一个字节写人EDI(01001001)”EDI寄存器所指的01001000地址即是第一个节区(UPX0)的起始地址,仅存在于内存中的节区(反正内容全部为NULL)。
循环二根据 ...
what do you
To do what you want to do
Hello World
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
Quick StartCreate a new post1$ hexo new "My New Post"
More info: Writing
Run server1$ hexo server
More info: Server
Generate static files1$ hexo generate
More info: Generating
Deploy to remote sites1$ hexo deploy
More info: Deployment