[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo壳

发表于: 2011-5-18 12:02 11852

[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo壳

dragon

2011-5-18 12:02

11852

一个抓包软件Smart Sniffer 用Peid查出来是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的壳，根据ESP定律跳转后，跑到如下位置：

0042D15D   .  58            pop     eax
0042D15E   .  61            popad
0042D15F   .  8D4424 80     lea     eax, dword ptr [esp-80]    <---------这里
0042D163   >  6A 00         push    0
0042D165   .  39C4          cmp     esp, eax
0042D167   .^ 75 FA         jnz     short 0042D163
0042D169   .  83EC 80       sub     esp, -80
0042D16C   .- E9 C13FFEFF   jmp     00411132    <-----------跳转
0042D171      00            db      00
0042D172      00            db      00
0042D173      00            db      00
0042D174      00            db      00

跳到这里：
00411132    6A 70           push    70
00411134    68 70244100     push    00412470
00411139    E8 DE010000     call    0041131C
0041113E    33DB            xor     ebx, ebx
00411140    53              push    ebx
00411141    8B3D 98204100   mov     edi, dword ptr [412098]          ; kernel32.GetModuleHandleA
00411147    FFD7            call    edi
00411149    66:8138 4D5A    cmp     word ptr [eax], 5A4D
0041114E    75 1F           jnz     short 0041116F
00411150    8B48 3C         mov     ecx, dword ptr [eax+3C]
00411153    03C8            add     ecx, eax
00411155    8139 50450000   cmp     dword ptr [ecx], 4550
0041115B    75 12           jnz     short 0041116F
0041115D    0FB741 18       movzx   eax, word ptr [ecx+18]
00411161    3D 0B010000     cmp     eax, 10B
00411166    74 1F           je      short 00411187
00411168    3D 0B020000     cmp     eax, 20B
0041116D    74 05           je      short 00411174
0041116F    895D E4         mov     dword ptr [ebp-1C], ebx
00411172    EB 27           jmp     short 0041119B
00411174    83B9 84000000 0>cmp     dword ptr [ecx+84], 0E
0041117B  ^ 76 F2           jbe     short 0041116F
0041117D    33C0            xor     eax, eax
0041117F    3999 F8000000   cmp     dword ptr [ecx+F8], ebx
00411185    EB 0E           jmp     short 00411195
00411187    8379 74 0E      cmp     dword ptr [ecx+74], 0E
0041118B  ^ 76 E2           jbe     short 0041116F
0041118D    33C0            xor     eax, eax
0041118F    3999 E8000000   cmp     dword ptr [ecx+E8], ebx
00411195    0F95C0          setne   al
00411198    8945 E4         mov     dword ptr [ebp-1C], eax
0041119B    895D FC         mov     dword ptr [ebp-4], ebx
0041119E    6A 02           push    2
004111A0    FF15 9C234100   call    dword ptr [41239C]               ; msvcrt.__set_app_type
004111A6    59              pop     ecx
004111A7    830D 2C404200 F>or      dword ptr [42402C], FFFFFFFF
004111AE    830D 30404200 F>or      dword ptr [424030], FFFFFFFF
004111B5    FF15 6C234100   call    dword ptr [41236C]               ; msvcrt.__p__fmode
004111BB    8B0D 9C534100   mov     ecx, dword ptr [41539C]
004111C1    8908            mov     dword ptr [eax], ecx
004111C3    FF15 40234100   call    dword ptr [412340]               ; msvcrt.__p__commode

感觉这部分是VC写的程序头，但却不知道怎么处理了，那位大侠帮忙看看

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

smsniff.rar （50.62kb，35次下载）

收藏・1

免费・0

支持

最新回复 (19)
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 2 楼 Microsoft Visual C++ 7.0 Method2 2011-5-18 12:21 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 3 楼 da bu chu zi le 上传的附件： 12.rar （59.88kb，9次下载） 2011-5-18 12:22 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 4 楼运行不起，OD也加载不了， 2011-5-18 13:56 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 5 楼机子问题吧？我的正常运行 2011-5-18 14:47 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 6 楼试试这个刚刚怎么我传上来也不能运行了上传的附件：桌面.rar （60.46kb，19次下载） 2011-5-18 15:45 0
CPLA 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	CPLA 7 楼这个你搜索一下论坛，以前有人发过的。要是不是为了技术研究的话，你下载个UPXShell直接解压就可以脱壳了。 2011-5-19 00:55 0
徒劳雪币： 176 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	徒劳 8 楼 Microsoft Visual C++ 7.0 Method2 2011-5-19 04:05 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 9 楼你是怎么处理的啊，有没有遇到开头遇到的那个问题啊？请赐教，谢谢 2011-5-19 14:17 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 10 楼没发现你说有什么问题？ 2011-5-19 16:15 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 11 楼你使用的那种方法脱的啊？ 2011-5-19 16:32 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 12 楼就是ESP定律，关键是不知你脱了之后，在帖子中没见你提出有什么问题。开头遇到的问题是什么问题？没表达清楚 2011-5-19 16:38 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 13 楼就是用过ESP后，会跳转到如下的代码处：跳到这里： 00411132 6A 70 push 70 00411134 68 70244100 push 00412470 00411139 E8 DE010000 call 0041131C 0041113E 33DB xor ebx, ebx 00411140 53 push ebx 2011-5-19 16:46 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 14 楼这里就是OEP了,会有什么问题 2011-5-19 16:51 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 15 楼转存好，执行不行，还需要什么修正吗? 2011-5-19 16:53 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 16 楼你重新载入一下，看看出错的地方在这里： 004111A7 830D 2C404200 F>or dword ptr [42402C], FFFFFFFF 地址[42402C]=0，出错说明可能内存不能写入，更改一下区段的属性就可以了 2011-5-19 16:57 0
月清晖雪币： 72 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	月清晖 17 楼脱壳后不能打开，可能是因为没有VC运行库的原因，这个壳很好弄的！ 2011-5-21 09:25 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 18 楼解决了，我用Olldbg导出的就是正常的，用LordPE导出的就不行，郁闷 2011-5-23 12:01 0
jinxuelong 雪币： 141 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	jinxuelong 19 楼这里就是OEP了,会有什么问题 2011-7-26 10:33 0
changfeng 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	changfeng 20 楼 ESP，直接搞定 2011-8-4 11:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dragon

发帖

回帖

RANK

关注

私信

他的文章

[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo壳 11853

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 2 楼 Microsoft Visual C++ 7.0 Method2 2011-5-18 12:21 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 3 楼 da bu chu zi le 上传的附件： 12.rar （59.88kb，9次下载） 2011-5-18 12:22 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 4 楼运行不起，OD也加载不了， 2011-5-18 13:56 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 5 楼机子问题吧？我的正常运行 2011-5-18 14:47 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 6 楼试试这个刚刚怎么我传上来也不能运行了上传的附件：桌面.rar （60.46kb，19次下载） 2011-5-18 15:45 0
CPLA 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	CPLA 7 楼这个你搜索一下论坛，以前有人发过的。要是不是为了技术研究的话，你下载个UPXShell直接解压就可以脱壳了。 2011-5-19 00:55 0
徒劳雪币： 176 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	徒劳 8 楼 Microsoft Visual C++ 7.0 Method2 2011-5-19 04:05 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 9 楼你是怎么处理的啊，有没有遇到开头遇到的那个问题啊？请赐教，谢谢 2011-5-19 14:17 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 10 楼没发现你说有什么问题？ 2011-5-19 16:15 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 11 楼你使用的那种方法脱的啊？ 2011-5-19 16:32 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 12 楼就是ESP定律，关键是不知你脱了之后，在帖子中没见你提出有什么问题。开头遇到的问题是什么问题？没表达清楚 2011-5-19 16:38 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 13 楼就是用过ESP后，会跳转到如下的代码处：跳到这里： 00411132 6A 70 push 70 00411134 68 70244100 push 00412470 00411139 E8 DE010000 call 0041131C 0041113E 33DB xor ebx, ebx 00411140 53 push ebx 2011-5-19 16:46 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 14 楼这里就是OEP了,会有什么问题 2011-5-19 16:51 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 15 楼转存好，执行不行，还需要什么修正吗? 2011-5-19 16:53 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 16 楼你重新载入一下，看看出错的地方在这里： 004111A7 830D 2C404200 F>or dword ptr [42402C], FFFFFFFF 地址[42402C]=0，出错说明可能内存不能写入，更改一下区段的属性就可以了 2011-5-19 16:57 0
月清晖雪币： 72 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	月清晖 17 楼脱壳后不能打开，可能是因为没有VC运行库的原因，这个壳很好弄的！ 2011-5-21 09:25 0
dragon 雪币： 411 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	dragon 18 楼解决了，我用Olldbg导出的就是正常的，用LordPE导出的就不行，郁闷 2011-5-23 12:01 0
jinxuelong 雪币： 141 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	jinxuelong 19 楼这里就是OEP了,会有什么问题 2011-7-26 10:33 0
changfeng 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	changfeng 20 楼 ESP，直接搞定 2011-8-4 11:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复