[原创]手脱未知壳。为啥莫有人⊙﹏⊙。有喜欢脱壳的来[邀请码已发]-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]手脱未知壳。为啥莫有人⊙﹏⊙。有喜欢脱壳的来[邀请码已发] 0.00雪花

发表于: 2010-8-7 13:50 11118

[旧帖] [原创]手脱未知壳。为啥莫有人⊙﹏⊙。有喜欢脱壳的来[邀请码已发] 0.00雪花

davg

2010-8-7 13:50

11118

今天逛游论坛看到有人发帖子求助脱壳，居然还是看雪的crackme。。。

不过文件名是unpackme。难道看雪出过脱壳的专题？有知情的朋友给个下载地址吧，我也好学习一下。

小弟不胜感激！

peid和die查壳均发现未知，区段竟然是个<。。。

OD载入，f9程序直接运行了，还好没有暗桩。。。

ctrl+f2重载程序，f8两步后esp变化，右击数据窗口跟随，下硬件读取断点-word

两次shift+f9后来到了一处可疑的oep。。。

004C71C1 - E9 3AEEFFFF JMP UpackMe_.004C6000

可是跳过去发现程序还在不断的跳呀跳的。。。dump出来也不能运行⊙﹏⊙

没耐心，直接alt+m打开内存窗口，找到sfx

命令行下tc eip<00525000

shift+f9几次后到达oep

00485EC8    55              PUSH EBP------------------------real oep
00485EC9    8BEC            MOV EBP,ESP
00485ECB    83C4 F0         ADD ESP,-10
00485ECE    B8 505C4800     MOV EAX,UpackMe_.00485C50
00485ED3    E8 D402F8FF     CALL UpackMe_.004061AC
00485ED8    A1 0C744800     MOV EAX,DWORD PTR DS:[48740C]
00485EDD    8B00            MOV EAX,DWORD PTR DS:[EAX]
00485EDF    E8 DC2DFDFF     CALL UpackMe_.00458CC0
00485EE4    8B0D 30734800   MOV ECX,DWORD PTR DS:[487330]                       ; UpackMe_.00488D00
00485EEA    A1 0C744800     MOV EAX,DWORD PTR DS:[48740C]
00485EEF    8B00            MOV EAX,DWORD PTR DS:[EAX]
00485EF1    8B15 0C4D4800   MOV EDX,DWORD PTR DS:[484D0C]                       ; UpackMe_.00484D58
00485EF7    E8 DC2DFDFF     CALL UpackMe_.00458CD8

lordpe dump出来后直接重建输入表

很幸运，没有无效函数。。。修复一下转存。。。搞定

知道诸位跟我一样特别缺少kx，特意上传到了空间里面，大家可以直接下载的，就是服务器不太稳定，毕竟是免费的嘛。。。

UpackMe_007.rar

dump.rar

UpackMe_007.rar

dump.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

dump.rar （659.13kb，4次下载）
UpackMe_007.rar （332.31kb，11次下载）
1.jpg （40.49kb，118次下载）
2.jpg （32.78kb，118次下载）
3.jpg （26.00kb，118次下载）
4.jpg （102.83kb，119次下载）
5.jpg （26.85kb，117次下载）
6.jpg （18.04kb，117次下载）

收藏・1

免费・0

支持

最新回复 (18)
damgda 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	damgda 2 楼好帖子，顶起来呀…(^_^) 2010-8-8 01:30 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 3 楼哈哈，谢谢看来没几个新手喜欢脱壳啊 2010-8-8 12:10 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 4 楼脱壳很难啊，学不来 2010-8-8 21:06 0
嗜血雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	嗜血 5 楼喜欢是喜欢啊。。问题比较难啊不懂啊来点教程就好了 2010-8-9 11:20 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 6 楼慢慢来嘛 2010-8-9 11:50 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 7 楼看看黑鹰的教程吧，基础课都是脱壳的，很强 2010-8-9 11:51 0
我是sld 雪币： 261 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 365 粉丝 1 关注私信	我是sld 2 8 楼同意楼上.......黑鹰的教程确实相当详细.. 我试了试这个软件....这个要用ESP定律的话要用3次才能到OEP... 2010-8-9 11:55 0
candle周雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	candle周 9 楼正需要，谢谢 2010-8-9 12:04 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 10 楼这个壳很好脱的，没有暗装。。。用esp定律就好 2010-8-9 12:51 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 11 楼呵呵，客气客气 2010-8-9 12:52 0
candle周雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	candle周 12 楼为什么我dump出来的都是C9而不是C8？ 2010-8-11 15:51 0
zhaoch 雪币： 156 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 63 粉丝 0 关注私信	zhaoch 13 楼支持楼主现在还看不懂啊，，收藏了以后看…… 2010-8-11 16:03 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 14 楼咱们下的断不一样的原因吧，偶尔也会有那样的情况，断到oep附近。。。 dump出来一样的。。。一般莫有啥问题 2010-8-11 16:22 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 15 楼不明白的话可以跟帖说明呀，大家可以一起讨论解决哦 2010-8-11 16:22 0
glamors 雪币： 1 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	glamors 16 楼学习中...... 2010-8-11 20:16 0
glxrz 雪币： 505 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 0 关注私信	glxrz 17 楼支持原创 2010-8-11 20:35 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 18 楼哈哈 2010-8-12 12:28 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 19 楼谢谢。。。 2010-8-12 12:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

davg

发帖

243

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
damgda 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	damgda 2 楼好帖子，顶起来呀…(^_^) 2010-8-8 01:30 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 3 楼哈哈，谢谢看来没几个新手喜欢脱壳啊 2010-8-8 12:10 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 4 楼脱壳很难啊，学不来 2010-8-8 21:06 0
嗜血雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	嗜血 5 楼喜欢是喜欢啊。。问题比较难啊不懂啊来点教程就好了 2010-8-9 11:20 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 6 楼慢慢来嘛 2010-8-9 11:50 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 7 楼看看黑鹰的教程吧，基础课都是脱壳的，很强 2010-8-9 11:51 0
我是sld 雪币： 261 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 365 粉丝 1 关注私信	我是sld 2 8 楼同意楼上.......黑鹰的教程确实相当详细.. 我试了试这个软件....这个要用ESP定律的话要用3次才能到OEP... 2010-8-9 11:55 0
candle周雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	candle周 9 楼正需要，谢谢 2010-8-9 12:04 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 10 楼这个壳很好脱的，没有暗装。。。用esp定律就好 2010-8-9 12:51 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 11 楼呵呵，客气客气 2010-8-9 12:52 0
candle周雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	candle周 12 楼为什么我dump出来的都是C9而不是C8？ 2010-8-11 15:51 0
zhaoch 雪币： 156 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 63 粉丝 0 关注私信	zhaoch 13 楼支持楼主现在还看不懂啊，，收藏了以后看…… 2010-8-11 16:03 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 14 楼咱们下的断不一样的原因吧，偶尔也会有那样的情况，断到oep附近。。。 dump出来一样的。。。一般莫有啥问题 2010-8-11 16:22 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 15 楼不明白的话可以跟帖说明呀，大家可以一起讨论解决哦 2010-8-11 16:22 0
glamors 雪币： 1 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	glamors 16 楼学习中...... 2010-8-11 20:16 0
glxrz 雪币： 505 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 0 关注私信	glxrz 17 楼支持原创 2010-8-11 20:35 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 18 楼哈哈 2010-8-12 12:28 0
davg 雪币： 193 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 243 粉丝 0 关注私信	davg 19 楼谢谢。。。 2010-8-12 12:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复