IDA初步教程：通过UPX简单的脱壳演示IDB数据操作

UPX简单的脱壳

IDA 的IDB数据库简单介绍，在论坛里第一集时，已经说过IDA Pro的分析操作其实是对分析数据库的操作，有老师已经发了一个IDA操作的IDA简易教程，主要是数据转换方面的，挺不错了，那么这个视频就避开这部分已有的内容，而是首先通过对UPX的简单解包的过程来描述IDB数据从内存动态状态下复制到IDB数据库的过程
 

首先我们将对记事本进行一个压缩，然后用它为样本来介绍今天的内容
 
很快压缩就完成了
 
为了让大家更有亲切感，我们首先在OD里进行一次解包的过程，在调试软件中不会用OD那真可惜，有太多的好资料好点子好方法都是在OD里实现的，并且有着超多的插件在供选择使用，对于工具来说，我们不拒绝任何的好工具，同时也要知道工具的适用范围
 

正因为OD的强大，所以它的改版也特别的多，如现在你看到的这个版本，集成了许多的插件和适用工具
 
乘着漫长的加载时间可以打量下这DRX的布局，除常见的OD布局外还多了一排工具按钮
 
终于见到了，一如以往，被压缩的被加密的都会提示的对话框出来了，选择否吧
 
停在这里，接下来是要找到OEP，脱壳或解压的基本功就是找到OEP，方法很多，这里只用最快的方法，脱壳或解压不是本视频的主要目的
 
用指令查找POPAD，或下拉一点就可以看到一个大的向上转跳，这个地方就是UPX解码后的OEP
 
明显这是向上的大转跳，对箭头处设断点或是光条焦点它
 

这里我采用了光条焦点然后F4执行到此处的方法
 
执行后，我们换F7单步到入口处
 
此时解码已经完成我们可以将内存影像DUMP出来，方法有许多如LoadPE等等，这里我们用了OllyDUMP插件来完成
 
在脱壳中不得不提的两个工具LoadPE和ImpREC，待会儿会用上
 
啥问题，点击ImpREC没有直接执行起来，只好到目录下去运行，估计要事先先运行？
 
用ImpREC修复的原因待会儿在IDA里可以看见，现在我们找到记事本的进程，并做好IAT的修复
 
填入实际的OEP地址，然后AutoSearch
 
然后我们还需要Get Imports，否则无法正确的写入，这里对一些错误的导入数据还要有一个整理的过程，由于我们这个UPX很简单，所以这些整理的步骤就不用了，只要载入然后修复导入区就可以了
 接下来我们将演示在IDA Pro中去做对比和在IDA Pro中手脱的过程
 载入后，我们发现导航带图形几乎是灰白色的，表明IDA Pro没有进一步自动分析这个程序的能力

================================

第四集：IDA 初步视频教程 继续解包，混淆代码的静态分析方法

{原文链接：http://www.guhai.com.cn/html/GJ/soft-tech/13759.html}

第二集：IDA（Ida_install）初步配置视频教程

{原文链接：http://www.guhai.com.cn/html/ZGSJ/shipin-tech/13533.html}

第一集：IDA（Ida_install）初步视频教程

{原文链接：http://www.guhai.com.cn/html/GJ/soft-tech/13496.html}