サイバーセキュリティや人工知能(機械学習等)を中心に、最新技術を研究しています。
UPX を使って自分でパックした PE32 をアンパックする手順の覚え書きです。
① OllyDbg にアンパック対象のバイナリ( sample.exe )をロード
※ sample.exe:UPX でパックした PE32
② PUSHAD
・
・
・
POPAD
・
JMP ( OEP アドレス)
の形を確認して、「OEP アドレス」まで実行。
③ OllyDump でメモリダンプを保存
(1)「Get EIP as OEP」ボタンを押して現在の eip を「Entry Point」として設定
(2)「Rebuild Import」チェックボックスを OFF にする
(3)「Dump」ボタンを押してメモリダンプを取得/保存( DumpSample.exe )
記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。