无法使用Ollydbg打开解压缩的文件

Question

我希望通过我尝试分析的代码示例获得一些乐趣。所以，首先我把它交给PEiD程序，它告诉我它已经装满了UPX。 所以，然后我用UPX解压缩它。 如果它正确解压缩，我现在再次打开带有PEiD的解压缩版本，它现在告诉我：没有找到 然后我用“Detect it Easy 0.88”打开了解压缩版本，它告诉我以下内容：

正如您所看到的，它是使用Microsoft Visual C / C ++等编译的。因此，我假设解压缩过程没问题。 另外，我用IDA PRO打开它。一切似乎都很清楚（我的意思是有一个很大的导入函数列表，IDA PRO用WinMain（x，x，x，x）启动解压缩版本等） 但是当我用Ollydbg打开它时，会发生以下情况：

a）从图片中可以看到的MOV指令开始（见下文）

b）你在图片中看不到它，但ollydbg要求我将Access违规例外传递给程序，所以我按Shift + F9。 但是当我这样做并按F7后再继续前进时，突然该过程自行终止。

我的问题： 在这种情况下我该怎么办？

PS： 我检查了Debug选项菜单中的所有异常字段。但没有任何成功。

最好的问候，

Answer 1

有一些事情要考虑，IDA分析磁盘中的静态代码，Olly运行程序并对其进行调试，假设解压缩的PE在未被调试时运行良好，程序可能有一些防范钩子的安全性，尝试执行你的程序自然然后附加到进程，如果你仍然没有成功尝试一些反调试插件，如advancedOlly或HideOd for olly。