解压缩过程
1.查壳发现是WinUpack壳,OD载入失败,点击确定时,OD停留在ntdll.dll中,用stud_pe工具打开,发现EP为00001018
2.在OD中,跳转到EP,选中ep,右键-》new origin here,调式
3.接下来看解压缩的过程,压缩的时候把数据都压缩到第二个节区中,解压缩的过程会把这些数据放到第一个节区中
4.单步,初始化eax,值为notepad的Oep,运行到0101fd18,为解压缩函数,该函数多次被调用
5.edi为第一个节区的地址,在解密函数中单步,发现了往edi中写入数据的代码段。
6.接着写入IAT,完成解压缩
参考资料:
《逆向工程核心原理》