尝试执行解压缩的可执行文件时会出现问题。原文件采用UPX (3.91 +) [modified]打包, Detect It Easy报道。
解包过程如下所示:
- 使用x64dbg找到了指令:
lea rax, qword ptr ss: [rsp-80]
push 0
cmp rsp, rax
jne ***. 7FF7181DAD39
sub rsp, FFFFFFFFFFFFFF80
jmp ***. 7FF71816CE3C
- 有效的入口点由
jmp数据定义:***.7FF71816CE3C - 使用Scylla模块,指示真正的入口点,进行转储和转储修复。
注意:转储时有 2 个未定义的导入,但我通过删除忽略了它们
运行固定转储后,出现错误:
EXCEPTION_DEBUG_INFO:
dwFirstChance: 1
ExceptionCode: C0000005 (EXCEPTION_ACCESS_VIOLATION)
ExceptionFlags: 00000000
ExceptionAddress: 00007FFF02E2C286 <ntdll>
NumberParameters: 2
ExceptionInformation [00]: 0000000000000000 Read
ExceptionInformation [01]: 00007FF71818F2C0 Inaccessible Address
First attempt at exception at 00007FFF02E2C286 (C0000005, EXCEPTION_ACCESS_VIOLATION)!
我还想指出,原始应用程序不想在x64dbg调试下完全工作,就像它在附加到进程时完成工作一样。
对不起,我还是新手,最近两天才这样做。感谢您的关注!
我认为源文件受到了保护,这可能是显而易见的,但我完全不知道该怎么做,实现目标的愿望并没有消失。
执行环境:
OS Name: Windows 10 Pro
OS Version: 10.0.19042 N/A Build 19042
System Type: x64-based PC