UPX官網：http;//upx.sourceforge.net

UPX加殼

通過cmd窗口執行，進入upx目錄，執行：

upx.exe fishc.exe

或者直接將exe拖至upx.exe上即可

UPX脫殼

upx -d abc.exe

如果作者在導入表等地方修改的話，這種方式就不可以脫殼了，因為他自己都不認識自己了

一般情況下，加殼的程序均為 pushad

應用堆棧平衡法（ESP改變）找到

最好我們脫殼不要用OD的重建導入表，失敗率很高，最好用ImportREC來重建

保存修正的OEP地址，dump

打開ImportREC，替換OEP地址

查看RVA和Size的正確

復制RVA地址+基址4=46B128，最后Set Imports

fix dump

記住保存選擇OD生成的dump.exe，會新生成已個dump_.exe

?

?

?

WinUpack加殼

選擇選項后將文件拖進來點擊壓縮即可加殼

他還會生成已個備份bak，以防我們做了錯誤事情?

WinUpack脫殼

C界面尋找401018，應用堆棧平衡法找到OEP

不要選中重建表，保存OEP地址

打開ImportREC，修正基址，修正KVA，修正Size，然后SetImport，最后查看有沒有錯誤信息Show Invalid，Fix dump。

還原后如果嫌棄太大呢，最后也可以LordPE壓縮一下

PE Edit，Rebuil PE

?

總結

以上是生活随笔為你收集整理的35. 脱壳篇-UPX和WinUpack压缩壳的使用和脱法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。