这个后面应该会增加,目前只记录遇到的
1.改特征的UPX
先看看正常的UPX:
会发现里面有UPX0,UPX1等特别的字符,将其修改,就不能直接用UPX脱壳了
我把他们都改成6666
自动脱壳就会报错:
拖进die看看
可以看到他不仅能识别到是UPX壳,还能识别出来可能修改的地方
将其修改回来:
就正常脱壳了:
2.修改入口点;
使用xdbg打开,然后把入口点的push全部nop
保存下来:
自动脱壳就失效了
放进die中:
仍然会被发现,而且显示了原因
那如果同时nop和修改特征呢?
仍然会被发现,改的太低级了
这里有个疑问,为什么把入口点全部nop,程序仍然能正常运用,而且这样堆栈也不平衡了啊?
3.花指令
没见到,先占个位