首页
社区
课程
招聘
脱UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]k壳遇到的问题
发表于: 2010-2-1 22:29 8017

脱UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]k壳遇到的问题

2010-2-1 22:29
8017
在看天草前辈的教程时发现了一个问题,在脱UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]这个壳时,教程部分如下:
0041C000 反外>  60         pushad //入口,关键提示,大家就应该马上想到ESP定律了,单步F8
0041C001      9C           pushfd
0041C002      64:FF35 0000>push dword ptr fs:[0] //到这里,ESP=0012FFA0
0041C009      E8 79010000  call 反外挂服.0041C187
0041C00E      0000         add byte ptr ds:[eax],al

命令行下断hr 0012FFA0,Shift+F9运行!在这步之后和教程的不同,我shift+F9后跳到了这个地方:
7C8021C2    8348 40 FF      or dword ptr ds:[eax+40],FFFFFFFF
7C8021C6  ^ E9 45FEFFFF     jmp kernel32.7C802010
7C8021CB    90              nop
7C8021CC    90              nop
7C8021CD    90              nop
7C8021CE    90              nop
7C8021CF    90              nop
7C8021D0 >  8BFF            mov edi,edi

而教程中是直接到popad,然后下面就直接跳到OEP了,我到这里之后就卡在这了,后面不知该如何做,那位大哥指点下。附件传了几次,没有成功,先发个链接:http://e.ys168.com/note/fd.htm?http://ys-C.ys168.com/?反外挂服务器.rar
大家帮忙看下。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 174
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
附件如下:传了两次竟然没传上,哎,人品啊。
2010-2-1 23:13
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
没看见文件呀,你要压缩后在上传(不支持exe)
2010-2-2 04:28
0
雪    币: 174
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
再补充下程序入口点部分代码:
0041C000 >  60              pushad
0041C001    9C              pushfd
0041C002    64:FF35 0000000>push dword ptr fs:[0]
0041C009    E8 79010000     call 反外挂服.0041C187
0041C00E    0000            add byte ptr ds:[eax],al
0041C010    0000            add byte ptr ds:[eax],al
0041C012    0000            add byte ptr ds:[eax],al
0041C014    0000            add byte ptr ds:[eax],al
0041C016    0000            add byte ptr ds:[eax],al
0041C018    0000            add byte ptr ds:[eax],al
0041C01A    5E              pop esi
0041C01B    C001 00         rol byte ptr ds:[ecx],0
0041C01E    36:C001 00      rol byte ptr ss:[ecx],0
0041C022    0000            add byte ptr ds:[eax],al
0041C024    0000            add byte ptr ds:[eax],al
0041C026    0000            add byte ptr ds:[eax],al
0041C028    0000            add byte ptr ds:[eax],al
0041C02A    0000            add byte ptr ds:[eax],al
0041C02C    0000            add byte ptr ds:[eax],al
0041C02E    0000            add byte ptr ds:[eax],al
0041C030    0000            add byte ptr ds:[eax],al
0041C032    0000            add byte ptr ds:[eax],al
0041C034    0000            add byte ptr ds:[eax],al
0041C036 >  7A 4F           jpe short 反外挂服.0041C087
0041C038    817C28 1A 807CE>cmp dword ptr ds:[eax+ebp+1A],94EE7C8>
0041C040    807C95 B9 80    cmp byte ptr ss:[ebp+edx*4-47],80
0041C045    7C 04           jl short 反外挂服.0041C04B
0041C047    BA 807CD79B     mov edx,9BD77C80
0041C04C    807C7B 1D 80    cmp byte ptr ds:[ebx+edi*2+1D],80
0041C051    7C 30           jl short 反外挂服.0041C083
0041C053    AE              scas byte ptr es:[edi]
0041C054    807CFA CA 81    cmp byte ptr ds:[edx+edi*8-36],81
0041C059    7C 00           jl short 反外挂服.0041C05B
0041C05B    0000            add byte ptr ds:[eax],al
0041C05D    006B 65         add byte ptr ds:[ebx+65],ch
0041C060    72 6E           jb short 反外挂服.0041C0D0
0041C062    65:6C           ins byte ptr es:[edi],dx
0041C064    3332            xor esi,dword ptr ds:[edx]
0041C066    2E:             prefix cs:
0041C067    64:6C           ins byte ptr es:[edi],dx
0041C069    6C              ins byte ptr es:[edi],dx
0041C06A    0000            add byte ptr ds:[eax],al
0041C06C    0047 65         add byte ptr ds:[edi+65],al
0041C06F    74 53           je short 反外挂服.0041C0C4
0041C071    79 73           jns short 反外挂服.0041C0E6
0041C073    74 65           je short 反外挂服.0041C0DA
0041C075    6D              ins dword ptr es:[edi],dx
0041C076    44              inc esp
0041C077    6972 65 63746F7>imul esi,dword ptr ds:[edx+65],726F74>
0041C07E    79 41           jns short 反外挂服.0041C0C1
0041C080    0000            add byte ptr ds:[eax],al
0041C082    0043 72         add byte ptr ds:[ebx+72],al
0041C085    65:61           popad
0041C087    74 65           je short 反外挂服.0041C0EE
0041C089    46              inc esi
0041C08A    696C65 41 00000>imul ebp,dword ptr ss:[ebp+41],430000>
0041C092    72 65           jb short 反外挂服.0041C0F9
0041C094    61              popad
0041C095    74 65           je short 反外挂服.0041C0FC
0041C097    46              inc esi
0041C098    696C65 4D 61707>imul ebp,dword ptr ss:[ebp+4D],697070>
0041C0A0    6E              outs dx,byte ptr es:[edi]
0041C0A1    67:41           inc ecx
0041C0A3    0000            add byte ptr ds:[eax],al
0041C0A5    004D 61         add byte ptr ss:[ebp+61],cl
0041C0A8    70 56           jo short 反外挂服.0041C100

哪位大哥感兴趣帮忙脱下,告诉下方法,谢谢。
2010-2-6 09:17
0
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
文件

下载不了
2010-2-6 21:08
0
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
二种方法可以到oep。一种用esp定律。还一种就是你说的天草用的那种,你可以直接CTRL+Sl输入popfd popad,然后下断,Shift+F9运行就断下了,F8单步就可以找到OEP
2010-2-6 21:11
0
雪    币: 174
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
谢谢,我再试一下。
2010-2-7 01:44
0
雪    币: 174
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
今晚又试了几个小时,这次总是在跳到异常0EEDFADE处时提示与调试器程序冲突,然后就终止了,也不知道什么原因,佐手菗煙 可否做个简单的教程或动画?
2010-2-7 22:37
0
雪    币: 23
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
用原版oD吧。
2010-2-8 09:10
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我也遇到过,直接下了个UPXshell直接解压成功了。如果需要,传给你吧
2010-2-8 09:20
0
雪    币: 174
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
尽量想手脱,毕竟是学东西的。求个明白,
2010-2-8 23:00
0
雪    币: 118
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
可以试用查找命令序列popad popfd,在它的下一行下断,后运行,应该就到OEP了!
2010-2-8 23:19
0
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
一定要忽略所有异常!!我猜想你可能没有忽略所有异常,包括忽略最近的其他系列的异常。
如果忽略了所有异常还是出现像你所说的,那请你换个E文的OD或者diy版本的OD。
还有阿,最后修复的时候,是需要进行overlay修复的,切记。
2010-2-9 15:31
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
嗨~多按几次不就到了吗?
2010-2-9 23:53
0
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
多试几次吧 ··
2010-2-10 18:13
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
楼主加我QQ,我来看看吧,274922456
2010-2-10 19:40
0
雪    币: 174
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
直接退出了,而且用的也是原版的。忽略所有异常且添加附近异常,各位还有办法吗?
2010-2-11 17:43
0
游客
登录 | 注册 方可回帖
返回
//