一、首先看有没有加壳
1、如果看到UPX1:0000000140108730 start proc near
说明程序被 UPX 壳保护了。
我们要做的是:
👉 把壳去掉
👉 再用 IDA 分析真正代码
首先按住菜单加R输入cmd回车就可以打开终端了。
在终端上输入upx.exe -d 就可以得到以下内容:
D:\新建文件夹 (4)>upx.exe -d "尤皮·埃克斯历险记(1).exe"
'upx.exe' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
D:\新建文件夹 (4)>upx.exe -d "尤皮·埃克斯历险记(1).exe"
Ultimate Packer for eXecutables
Copyright (C) 1996 - 2026
UPX 5.1.1 Markus Oberhumer, Laszlo Molnar & John Reiser Mar 5th 2026
File size Ratio Format Name
2601138 <- 1875634 72.11% win64/pe 尤皮·埃克斯历险记(1).exe
Unpacked 1 file.
脱完壳后正常分析就行了