UPX脱壳的学习~~~~本人菜鸟经高手指点后依然很菜哈哈-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] UPX脱壳的学习~~~~本人菜鸟经高手指点后依然很菜哈哈 0.00雪花

发表于: 2011-11-1 23:24 2282

[旧帖] UPX脱壳的学习~~~~本人菜鸟经高手指点后依然很菜哈哈 0.00雪花

zobin

2011-11-1 23:24

2282

经过高手们的指点把脱壳过程整理如下
1.找OEP入口
2.脱壳
3.执行exe

第一步.看看是什么壳

第二步.脱壳
在这个部分的OEP入口Dump了

第三步.Dump后,看脱壳后的信息
不知道为什么是“什么也没发现” 实际已经脱壳成功

第四步.执行exe

exe文件在这_____ qqnmtf.zip_____

------------------------------------------------------------------------------------------------------------------------------------
0042BC49 .  50          push eax
0042BC4A .  68 F8884200 push 004288F8                      ;  http://192.168.0.10/login_s.asp?
0042BC4F .  FF15 8C104000 call dword ptr [<&MSVBVM60.__vbaStrCm>;  MSVBVM60.__vbaStrCmp
0042BC55 .  8B16       mov    edx, dword ptr [esi]
0042BC57 .  8BD8       mov    ebx, eax
0042BC59 .  F7DB       neg    ebx
0042BC5B .  1BDB       sbb    ebx, ebx
0042BC5D .  6A 00       push 0
0042BC5F .  F7DB       neg    ebx
0042BC61 .  68 D3000000 push 0D3
0042BC66 .  56          push esi
0042BC67 .  F7DB       neg    ebx
0042BC69 .  FF92 C8030000 call dword ptr [edx+3C8]
0042BC6F .  50          push eax
0042BC70 .  8D45 9C    lea    eax, dword ptr [ebp-64]
0042BC73 .  50          push eax
0042BC74 .  FF15 58104000 call dword ptr [<&MSVBVM60.__vbaObjSe>;  MSVBVM60.__vbaObjSet
0042BC7A .  8D4D 88    lea    ecx, dword ptr [ebp-78]
0042BC7D .  50          push eax
0042BC7E .  51          push ecx
0042BC7F .  FF15 AC104000 call dword ptr [<&MSVBVM60.__vbaLateI>;  MSVBVM60.__vbaLateIdCallLd
0042BC85 .  83C4 10    add    esp, 10
0042BC88 .  50          push eax
0042BC89 .  FF15 28104000 call dword ptr [<&MSVBVM60.__vbaStrVa>;  MSVBVM60.__vbaStrVarMove
0042BC8F .  8BD0       mov    edx, eax
0042BC91 .  8D4D B4    lea    ecx, dword ptr [ebp-4C]
0042BC94 .  FF15 58114000 call dword ptr [<&MSVBVM60.__vbaStrMo>;  MSVBVM60.__vbaStrMove
0042BC9A .  50          push eax
0042BC9B .  68 A0884200 push 004288A0                      ;  http://192.168.0.10/u_s.asp?action=show
0042BCA0 .  FF15 8C104000 call dword ptr [<&MSVBVM60.__vbaStrCm>;  MSVBVM60.__vbaStrCmp
0042BCA6 .  F7D8       neg    eax
0042BCA8 .  1BC0       sbb    eax, eax
0042BCAA .  8D55 B0    lea    edx, dword ptr [ebp-50]
0042BCAD .  F7D8       neg    eax
0042BCAF .  F7D8       neg    eax
0042BCB1 .  23D8       and    ebx, eax
0042BCB3 .  8D45 B4    lea    eax, dword ptr [ebp-4C]
0042BCB6 .  52          push edx                            ;  ntdll.KiFastSystemCallRet
0042BCB7 .  50          push eax
0042BCB8 .  6A 02       push 2
0042BCBA .  FF15 14114000 call dword ptr [<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStrList
0042BCC0 .  8D4D 98    lea    ecx, dword ptr [ebp-68]
0042BCC3 .  8D55 9C    lea    edx, dword ptr [ebp-64]
0042BCC6 .  51          push ecx
0042BCC7 .  52          push edx                            ;  ntdll.KiFastSystemCallRet
0042BCC8 .  6A 02       push 2
0042BCCA .  FF15 34104000 call dword ptr [<&MSVBVM60.__vbaFreeO>;  MSVBVM60.__vbaFreeObjList
0042BCD0 .  8D85 78FFFFFF lea    eax, dword ptr [ebp-88]
0042BCD6 .  8D4D 88    lea    ecx, dword ptr [ebp-78]
0042BCD9 .  50          push eax
0042BCDA .  51          push ecx
0042BCDB .  6A 02       push 2
0042BCDD .  FF15 2C104000 call dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVarList
0042BCE3 .  83C4 24    add    esp, 24
0042BCE6 .  66:85DB    test bx, bx
0042BCE9    0F84 A0050000 je    0042C28F

[课程]Linux pwn 探索篇！

上传的附件：

1.JPG （22.01kb，326次下载）
qqnmtf.zip （361.23kb，16次下载）
2.JPG （130.88kb，92次下载）
3.JPG （23.00kb，90次下载）

收藏・2

免费・0

支持

最新回复 (26) 1 2 ▶
CNNY 雪币： 183 活跃值： (82) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 107 粉丝 0 关注私信	CNNY 1 2 楼图片看不到，附件下不了 2011-11-2 00:05 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 3 楼图片还挂着呢么？ 2011-11-2 10:20 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 4 楼不支持日货 2011-11-2 11:12 0
CNNY 雪币： 183 活跃值： (82) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 107 粉丝 0 关注私信	CNNY 1 5 楼 OEP找的不对吧，用ESP定律可以的 2011-11-2 12:33 0
welcomeg 雪币： 130 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	welcomeg 6 楼 ESP定律可以脱Aspack壳和nSPack 壳。没脱过UPx，你可以试试。 2011-11-2 16:58 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 7 楼没人指导下么 2011-11-3 16:31 0
风扫地雪币： 36 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	风扫地 8 楼附件下载不下来。。传个网盘链接试试看。 2011-11-3 16:46 0
风扫地雪币： 36 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	风扫地 9 楼 OEP找错了。 ESP定律即可。。 0049BBB9 E8 FE690000 call qqnmtf.004A25BC 0049BBBE ^ E9 79FEFFFF jmp qqnmtf.0049BA3C 0049BBC3 3B0D C0B84F00 cmp ecx,dword ptr ds:[0x4FB8C0] 0049BBC9 75 02 jnz Xqqnmtf.0049BBCD 0049BBCB F3: prefix rep: Dump以后修复一下就可以了。。。外挂？ 2011-11-3 16:52 0
chdccj 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	chdccj 10 楼 bd............ 2011-11-3 16:55 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 11 楼是滴我再研究研究 2011-11-3 17:31 0
mcray 雪币： 851 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 1 关注私信	mcray 12 楼鼓捣多了也就会了 UPX壳最好脱了找到popad 就离OEP不远了 2011-11-3 17:47 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 13 楼大侠我应该停在哪然后dump呢？杯具啊 2011-11-3 18:28 0
fxliutm 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	fxliutm 14 楼菜鸟表示。。你很菜啊。。用ESP方法： 1.将qqnmtf.exe载入到OD，然后在OD界面的下方“命令栏”里输入“hr 0012FFA4”,不含引号。输入完成后，按一下回车键； 2.然后按F9键，这时执行情况如下： 005339C7 61 POPAD 005339C8 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80] //现在命令执行到这里。。。 005339CC 6A 00 PUSH 0 005339CE 39C4 CMP ESP,EAX 005339D0 ^ 75 FA JNZ SHORT qqnmtf.005339CC 005339D2 83EC 80 SUB ESP,-80 005339D5 - E9 DF81F6FF JMP qqnmtf.0049BBB9 3.其中最后的一跳代码就是关键的一跳。执行到005339D5 后，按一下F8，就跳到了你要找的EOP。。如下： 0049BBB9 E8 FE690000 CALL qqnmtf.004A25BC 0049BBBE ^ E9 79FEFFFF JMP qqnmtf.0049BA3C 0049BBC3 3B0D C0B84F00 CMP ECX,DWORD PTR DS:[4FB8C0] 0049BBC9 75 02 JNZ SHORT qqnmtf.0049BBCD 0049BBCB F3: PREFIX REP: 0049BBCC C3 RETN 4.然后将0049BBB9 Dump即可。。可以了吗。。不行的话可以在和我讨论。。。顺便和你说一下，这是我脱得第三个壳。。。嘿嘿。。有成就感啊。。 2011-11-3 21:09 0
fxliutm 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	fxliutm 15 楼补充一下。。。我是用虚拟机里的XP系统环境进行的脱壳处理。。在win7下，试了好几遍都不行。。不知道为什么。。而且每次重新调试时，esp里的值都会变。。 2011-11-3 21:27 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 16 楼我灰常灰常菜... 我也在此处Dump了但Dump出来的exe不能执行我看大侠们都说如果脱壳成功的话 Dump完的exe是可以执行的所以我就以为我没脱成功... 那现在应该是修复的问题了... 2011-11-3 21:39 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 17 楼我要顶上去 2011-11-4 15:54 0
wlzailsn 雪币： 46 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 80 粉丝 1 关注私信	wlzailsn 18 楼 Dump 点在 0049BA3C dump出来之后完全可以运行。不需要修复 2011-11-4 17:37 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 19 楼我dump完了运行不了。。。与是否安装开发环境有关么？ 2011-11-4 17:54 0
wlzailsn 雪币： 46 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 80 粉丝 1 关注私信	wlzailsn 20 楼没关系啊。直接运行啊上传的附件： qq2.zip （469.33kb，1次下载） 2011-11-4 18:25 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 21 楼农夫山泉----有点晕 2011-11-4 22:04 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 22 楼大侠你dump的exe在我机器上也运行不了上传的附件： 5.JPG （16.10kb，18次下载） 2011-11-4 22:15 0
qwangwei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	qwangwei 23 楼很简单的壳，楼主加油啊！！ 2011-11-4 22:16 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 24 楼我现在感觉我机器的环境有问题... 我下载wlzailsn大侠脱壳之后的文件也不能运行啊奇怪了... 2011-11-4 22:56 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 25 楼为什么呢这是为什么呢 2011-11-5 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zobin

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
CNNY 雪币： 183 活跃值： (82) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 107 粉丝 0 关注私信	CNNY 1 2 楼图片看不到，附件下不了 2011-11-2 00:05 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 3 楼图片还挂着呢么？ 2011-11-2 10:20 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 4 楼不支持日货 2011-11-2 11:12 0
CNNY 雪币： 183 活跃值： (82) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 107 粉丝 0 关注私信	CNNY 1 5 楼 OEP找的不对吧，用ESP定律可以的 2011-11-2 12:33 0
welcomeg 雪币： 130 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	welcomeg 6 楼 ESP定律可以脱Aspack壳和nSPack 壳。没脱过UPx，你可以试试。 2011-11-2 16:58 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 7 楼没人指导下么 2011-11-3 16:31 0
风扫地雪币： 36 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	风扫地 8 楼附件下载不下来。。传个网盘链接试试看。 2011-11-3 16:46 0
风扫地雪币： 36 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	风扫地 9 楼 OEP找错了。 ESP定律即可。。 0049BBB9 E8 FE690000 call qqnmtf.004A25BC 0049BBBE ^ E9 79FEFFFF jmp qqnmtf.0049BA3C 0049BBC3 3B0D C0B84F00 cmp ecx,dword ptr ds:[0x4FB8C0] 0049BBC9 75 02 jnz Xqqnmtf.0049BBCD 0049BBCB F3: prefix rep: Dump以后修复一下就可以了。。。外挂？ 2011-11-3 16:52 0
chdccj 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	chdccj 10 楼 bd............ 2011-11-3 16:55 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 11 楼是滴我再研究研究 2011-11-3 17:31 0
mcray 雪币： 851 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 1 关注私信	mcray 12 楼鼓捣多了也就会了 UPX壳最好脱了找到popad 就离OEP不远了 2011-11-3 17:47 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 13 楼大侠我应该停在哪然后dump呢？杯具啊 2011-11-3 18:28 0
fxliutm 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	fxliutm 14 楼菜鸟表示。。你很菜啊。。用ESP方法： 1.将qqnmtf.exe载入到OD，然后在OD界面的下方“命令栏”里输入“hr 0012FFA4”,不含引号。输入完成后，按一下回车键； 2.然后按F9键，这时执行情况如下： 005339C7 61 POPAD 005339C8 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80] //现在命令执行到这里。。。 005339CC 6A 00 PUSH 0 005339CE 39C4 CMP ESP,EAX 005339D0 ^ 75 FA JNZ SHORT qqnmtf.005339CC 005339D2 83EC 80 SUB ESP,-80 005339D5 - E9 DF81F6FF JMP qqnmtf.0049BBB9 3.其中最后的一跳代码就是关键的一跳。执行到005339D5 后，按一下F8，就跳到了你要找的EOP。。如下： 0049BBB9 E8 FE690000 CALL qqnmtf.004A25BC 0049BBBE ^ E9 79FEFFFF JMP qqnmtf.0049BA3C 0049BBC3 3B0D C0B84F00 CMP ECX,DWORD PTR DS:[4FB8C0] 0049BBC9 75 02 JNZ SHORT qqnmtf.0049BBCD 0049BBCB F3: PREFIX REP: 0049BBCC C3 RETN 4.然后将0049BBB9 Dump即可。。可以了吗。。不行的话可以在和我讨论。。。顺便和你说一下，这是我脱得第三个壳。。。嘿嘿。。有成就感啊。。 2011-11-3 21:09 0
fxliutm 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	fxliutm 15 楼补充一下。。。我是用虚拟机里的XP系统环境进行的脱壳处理。。在win7下，试了好几遍都不行。。不知道为什么。。而且每次重新调试时，esp里的值都会变。。 2011-11-3 21:27 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 16 楼我灰常灰常菜... 我也在此处Dump了但Dump出来的exe不能执行我看大侠们都说如果脱壳成功的话 Dump完的exe是可以执行的所以我就以为我没脱成功... 那现在应该是修复的问题了... 2011-11-3 21:39 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 17 楼我要顶上去 2011-11-4 15:54 0
wlzailsn 雪币： 46 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 80 粉丝 1 关注私信	wlzailsn 18 楼 Dump 点在 0049BA3C dump出来之后完全可以运行。不需要修复 2011-11-4 17:37 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 19 楼我dump完了运行不了。。。与是否安装开发环境有关么？ 2011-11-4 17:54 0
wlzailsn 雪币： 46 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 80 粉丝 1 关注私信	wlzailsn 20 楼没关系啊。直接运行啊上传的附件： qq2.zip （469.33kb，1次下载） 2011-11-4 18:25 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 21 楼农夫山泉----有点晕 2011-11-4 22:04 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 22 楼大侠你dump的exe在我机器上也运行不了上传的附件： 5.JPG （16.10kb，18次下载） 2011-11-4 22:15 0
qwangwei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	qwangwei 23 楼很简单的壳，楼主加油啊！！ 2011-11-4 22:16 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 24 楼我现在感觉我机器的环境有问题... 我下载wlzailsn大侠脱壳之后的文件也不能运行啊奇怪了... 2011-11-4 22:56 0
zobin 雪币： 24 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	zobin 25 楼为什么呢这是为什么呢 2011-11-5 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] UPX脱壳的学习~~~~本人菜鸟 经高手指点后 依然很菜 哈哈 0.00雪花

[旧帖] UPX脱壳的学习~~~~本人菜鸟经高手指点后依然很菜哈哈 0.00雪花