upx 수동언패킹

 

 

push ad 가 나오기떄문에

 

popad가 필요하므로

 

ctrl + s 로  popad를 찾고난 뒤에

 

ctrl + l 로 두번쨰를 찾는다. 더이상 찾을게없다한다.

 

 

f9를 누르면 몽땅 실행하지만 popad에 걸린다.

 

 

 

oep 로 점프 하는 내용이보인다.

 

oep 는 00401340 이다.

 

 

점프하면 시작되기떄문

 

iat auto search를 하고

 

 

 

Getimports를 누른다

 

함수들을 불러와준다

 

fix dump를 눌러주고 messageboxupx 에 오픈해준다.

데이터를 한스탭한스텝 보여주면서 넘길수있다

 

 

esi 와 edi가 소스를 복사할때 많이 쓰인다

 

소스에서 데스티네이션으로 자주 복사할떄 쓰이는거

 

esi 는 소스 edi는 데스티네이션

 

 

 

edi 의004010C2는 메세지박스의 코드 쪽이다

 esi의0040709E의 데이터를 가져와서 복사하는내용이다 복사하거나 암복호화를 하거나 주를 이루고있다.