FLY大哥，请教几个UPX变形壳的问题！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼看FAQ UPX变形壳的几个脱壳工具手动脱壳和普通UPX没有大差别注意：脱壳后无法运行未必是壳的原因，注意自检验/附加数据 2005-5-12 19:08 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 3 楼附加数据是指的什么? 2005-5-12 19:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼论坛搜索附加数据看别人的讨论 2005-5-12 19:36 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 5 楼我是看了FQ才发问题的，因为除了没有用过File scanner外（我没有啊），其余都是新版的工具，使用工具自动脱壳在解压过程中会停止响应。或者报不是UPX的壳。要不能我是不会找你帮忙的啦。在这里我又不好说出那个程序是什么。以免说我变相求破解。 2005-5-13 03:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 1、不是UPX/变形 2、File scanner很不错，难道不能去搜索下载？ 3、OllyDbg手动脱壳 2005-5-13 09:00 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 7 楼 1、如果说不是UPX/变形，那么为什么有UPX一样的特征字PUSHAD, 在正常的UPX中，应该有一个POPAD。而该软件在那个位置却还是PUSHAD。用PEid扫其OEP,是PUSHAD后面的那个JMP的地址，但是从这个地址dump出来的文件是没有用的。我试过用LOADPE直接dump再用IMP去修复，但是都不行，因为我还是没有找到真正的OEP，还有一个原因估计就是在单步过程中会OVER，用F8就会跳飞。 2、sorry.因为我用的电脑没有网络了。每次都是带上一个U盘上网吧下载的。File scanner已经下载了，刚下载完. 3、刚学会手工脱壳，功力有限。还在学习ing啊. 2005-5-14 22:02 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 8 楼变形壳也可能popad在前面，不用单步，试试esp定律，overlay在脱完壳后记得加上 2005-5-15 00:07 0
asdp 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	asdp 9 楼有个文件用PEiD0.8 查就是 UPX 0.89.6 - 1.02 / 1.05 - 1.22 DLL -> Markus & Lazlo 用PEiD0.92 就是 DBPE 2.33 -> Ding Boy 用FI 是PELock_DB v2.2? DingBoy 可见PEID0.8还是老了不知道楼主的问题和这个有关没 2005-5-16 19:45 0
阿杰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	阿杰 10 楼近来看看```学习中``` 2005-10-7 00:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼看FAQ UPX变形壳的几个脱壳工具手动脱壳和普通UPX没有大差别注意：脱壳后无法运行未必是壳的原因，注意自检验/附加数据 2005-5-12 19:08 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 3 楼附加数据是指的什么? 2005-5-12 19:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼论坛搜索附加数据看别人的讨论 2005-5-12 19:36 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 5 楼我是看了FQ才发问题的，因为除了没有用过File scanner外（我没有啊），其余都是新版的工具，使用工具自动脱壳在解压过程中会停止响应。或者报不是UPX的壳。要不能我是不会找你帮忙的啦。在这里我又不好说出那个程序是什么。以免说我变相求破解。 2005-5-13 03:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 1、不是UPX/变形 2、File scanner很不错，难道不能去搜索下载？ 3、OllyDbg手动脱壳 2005-5-13 09:00 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 7 楼 1、如果说不是UPX/变形，那么为什么有UPX一样的特征字PUSHAD, 在正常的UPX中，应该有一个POPAD。而该软件在那个位置却还是PUSHAD。用PEid扫其OEP,是PUSHAD后面的那个JMP的地址，但是从这个地址dump出来的文件是没有用的。我试过用LOADPE直接dump再用IMP去修复，但是都不行，因为我还是没有找到真正的OEP，还有一个原因估计就是在单步过程中会OVER，用F8就会跳飞。 2、sorry.因为我用的电脑没有网络了。每次都是带上一个U盘上网吧下载的。File scanner已经下载了，刚下载完. 3、刚学会手工脱壳，功力有限。还在学习ing啊. 2005-5-14 22:02 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 8 楼变形壳也可能popad在前面，不用单步，试试esp定律，overlay在脱完壳后记得加上 2005-5-15 00:07 0
asdp 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	asdp 9 楼有个文件用PEiD0.8 查就是 UPX 0.89.6 - 1.02 / 1.05 - 1.22 DLL -> Markus & Lazlo 用PEiD0.92 就是 DBPE 2.33 -> Ding Boy 用FI 是PELock_DB v2.2? DingBoy 可见PEID0.8还是老了不知道楼主的问题和这个有关没 2005-5-16 19:45 0
阿杰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	阿杰 10 楼近来看看```学习中``` 2005-10-7 00:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复