前言

  1. 本文章仅对此工具的分析和学习
  2. 软件来自网络
  3. 如有侵权违规请联系xcswlgzs@vip.qq.com (不定时在线)

正文

1
首先看他区段 是upx 应该是被加过密的( 并不算是壳 )

1
至于解密我就不多说什么了
1
2
拉近IDA里静态分析, 入口是这个样子
我们往下看

1
2
看一下他字符串
有一些重要信息 "shiju" "paota" "gongji" "xueye"

1
接上jmp j_Call (我修改了funtion name)
1
2
然后我就看到了几个疑似 "基质" 的地址
(这里是因为我解密了这个区段的数据了 所以会有, 直接拖入是没有这些数据)