首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 modified -> Markus & Laszlo [Overlay]
发表于: 2011-11-18 16:05 7691

[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 modified -> Markus & Laszlo [Overlay]

网络游侠 活跃值
2011-11-18 16:05
7691
00C8E0E4    9C              pushfd
00C8E0E5    807C24 0C 01    cmp     byte ptr [esp+C], 1
00C8E0EA    75 22           jnz     short 00C8E10E
00C8E0EC    E8 00000000     call    00C8E0F1
00C8E0F1    33C0            xor     eax, eax
00C8E0F3    8B0424          mov     eax, dword ptr [esp]
00C8E0F6    83C4 04         add     esp, 4
00C8E0F9    83C0 1F         add     eax, 1F
00C8E0FC    B9 5A000000     mov     ecx, 5A
00C8E101    56              push    esi
00C8E102    8BF0            mov     esi, eax
00C8E104    8006 E3         add     byte ptr [esi], 0E3
00C8E107    8036 2C         xor     byte ptr [esi], 2C
00C8E10A    46              inc     esi
00C8E10B  ^ E2 F7           loopd   short 00C8E104
00C8E10D    5E              pop     esi
00C8E10E    9D              popfd
00C8E10F    C3              retn
00C8E110    CD C9           int     0C9
00C8E112    6D              ins     dword ptr es:[edi], dx
00C8E113    25 3D4A767F     and     eax, 7F764A3D

这是壳入口代码,这个壳以前没见过。也不知道名字,PEID查出来是

UPX 0.89.6 - 1.02 / 1.05 - 1.24 modified -> Markus & Laszlo [Overlay]

看代码结构不像是UPX

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费
支持
分享
最新回复 (8)
zrhai
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
应该不是 UPX, 入口附近就是个循环解密吧,解出来看看
2011-11-18 19:48
0
网络游侠
雪    币: 0
活跃值: (964)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
入口的代码确实解压代码,解压出来的代码在入口retn 下面一行,我现在能跟到OEP,但修复的时候出现问题,很多API 采用jmp DWROD ptr [xxxxxx] 重定向过去的。
2011-11-19 10:02
0
四波
雪    币: 231
活跃值: (75)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
4
我也遇到个壳,PEID检测出来是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
但是怎么样我都找不到那个真正的EP,求大神赐教!
入口代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
0043AB70 >  60              PUSHAD
0043AB71    BE 00004300     MOV ESI,1.00430000
0043AB76    8DBE 0010FDFF   LEA EDI,DWORD PTR DS:[ESI+FFFD1000]
0043AB7C    57              PUSH EDI
0043AB7D    83CD FF         OR EBP,FFFFFFFF
0043AB80    EB 10           JMP SHORT 1.0043AB92
0043AB82    90              NOP
0043AB83    90              NOP
0043AB84    90              NOP
0043AB85    90              NOP
0043AB86    90              NOP
0043AB87    90              NOP
0043AB88    8A06            MOV AL,BYTE PTR DS:[ESI]
0043AB8A    46              INC ESI
0043AB8B    8807            MOV BYTE PTR DS:[EDI],AL
0043AB8D    47              INC EDI
0043AB8E    01DB            ADD EBX,EBX
0043AB90    75 07           JNZ SHORT 1.0043AB99
0043AB92    8B1E            MOV EBX,DWORD PTR DS:[ESI]
0043AB94    83EE FC         SUB ESI,-4
0043AB97    11DB            ADC EBX,EBX
0043AB99  ^ 72 ED           JB SHORT 1.0043AB88
0043AB9B    B8 01000000     MOV EAX,1
0043ABA0    01DB            ADD EBX,EBX
0043ABA2    75 07           JNZ SHORT 1.0043ABAB
0043ABA4    8B1E            MOV EBX,DWORD PTR DS:[ESI]
0043ABA6    83EE FC         SUB ESI,-4
0043ABA9    11DB            ADC EBX,EBX
0043ABAB    11C0            ADC EAX,EAX
0043ABAD    01DB            ADD EBX,EBX
0043ABAF  ^ 73 EF           JNB SHORT 1.0043ABA0
0043ABB1    75 09           JNZ SHORT 1.0043ABBC
0043ABB3    8B1E            MOV EBX,DWORD PTR DS:[ESI]
0043ABB5    83EE FC         SUB ESI,-4
0043ABB8    11DB            ADC EBX,EBX


个人认为比较关键的代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
0043AC4F    3C 01           CMP AL,1
0043AC51  ^ 77 F7           JA SHORT 1.0043AC4A
0043AC53    803F 04         CMP BYTE PTR DS:[EDI],4
0043AC56  ^ 75 F2           JNZ SHORT 1.0043AC4A
0043AC58    8B07            MOV EAX,DWORD PTR DS:[EDI]
0043AC5A    8A5F 04         MOV BL,BYTE PTR DS:[EDI+4]
0043AC5D    66:C1E8 08      SHR AX,8
0043AC61    C1C0 10         ROL EAX,10
0043AC64    86C4            XCHG AH,AL
0043AC66    29F8            SUB EAX,EDI
0043AC68    80EB E8         SUB BL,0E8
0043AC6B    01F0            ADD EAX,ESI
0043AC6D    8907            MOV DWORD PTR DS:[EDI],EAX
0043AC6F    83C7 05         ADD EDI,5
0043AC72    88D8            MOV AL,BL
0043AC74  ^ E2 D9           LOOPD SHORT 1.0043AC4F
0043AC76    8DBE 00800300   LEA EDI,DWORD PTR DS:[ESI+38000]
0043AC7C    8B07            MOV EAX,DWORD PTR DS:[EDI]
0043AC7E    09C0            OR EAX,EAX
0043AC80    74 45           JE SHORT 1.0043ACC7
0043AC82    8B5F 04         MOV EBX,DWORD PTR DS:[EDI+4]
0043AC85    8D8430 A0F50300 LEA EAX,DWORD PTR DS:[EAX+ESI+3F5A0]
0043AC8C    01F3            ADD EBX,ESI
0043AC8E    50              PUSH EAX
0043AC8F    83C7 08         ADD EDI,8
0043AC92    FF96 DCF50300   CALL DWORD PTR DS:[ESI+3F5DC]
0043AC98    95              XCHG EAX,EBP
0043AC99    8A07            MOV AL,BYTE PTR DS:[EDI]
0043AC9B    47              INC EDI
0043AC9C    08C0            OR AL,AL
0043AC9E  ^ 74 DC           JE SHORT 1.0043AC7C
0043ACA0    89F9            MOV ECX,EDI
0043ACA2    79 07           JNS SHORT 1.0043ACAB
0043ACA4    0FB707          MOVZX EAX,WORD PTR DS:[EDI]
0043ACA7    47              INC EDI
0043ACA8    50              PUSH EAX
0043ACA9    47              INC EDI
0043ACAA    B9 5748F2AE     MOV ECX,AEF24857
0043ACAF    55              PUSH EBP
0043ACB0    FF96 E0F50300   CALL DWORD PTR DS:[ESI+3F5E0]
0043ACB6    09C0            OR EAX,EAX
0043ACB8    74 07           JE SHORT 1.0043ACC1
0043ACBA    8903            MOV DWORD PTR DS:[EBX],EAX
0043ACBC    83C3 04         ADD EBX,4
0043ACBF  ^ EB D8           JMP SHORT 1.0043AC99
0043ACC1    FF96 F0F50300   CALL DWORD PTR DS:[ESI+3F5F0]
0043ACC7    8BAE E4F50300   MOV EBP,DWORD PTR DS:[ESI+3F5E4]
0043ACCD    8DBE 00F0FFFF   LEA EDI,DWORD PTR DS:[ESI-1000]
0043ACD3    BB 00100000     MOV EBX,1000
0043ACD8    50              PUSH EAX
0043ACD9    54              PUSH ESP
0043ACDA    6A 04           PUSH 4
0043ACDC    53              PUSH EBX
0043ACDD    57              PUSH EDI
0043ACDE    FFD5            CALL EBP
0043ACE0    8D87 D7010000   LEA EAX,DWORD PTR DS:[EDI+1D7]
0043ACE6    8020 7F         AND BYTE PTR DS:[EAX],7F
0043ACE9    8060 28 7F      AND BYTE PTR DS:[EAX+28],7F
0043ACED    58              POP EAX
0043ACEE    50              PUSH EAX
0043ACEF    54              PUSH ESP
0043ACF0    50              PUSH EAX
0043ACF1    53              PUSH EBX
0043ACF2    57              PUSH EDI
0043ACF3    FFD5            CALL EBP
0043ACF5    58              POP EAX
0043ACF6    61              POPAD
0043ACF7    8D4424 80       LEA EAX,DWORD PTR SS:[ESP-80]
0043ACFB    6A 00           PUSH 0
0043ACFD    39C4            CMP ESP,EAX
0043ACFF  ^ 75 FA           JNZ SHORT 1.0043ACFB
0043AD01    83EC 80         SUB ESP,-80
0043AD04  - E9 4379FCFF     JMP 1.0040264C
2011-12-12 19:20
0
zhujian
雪    币: 1262
活跃值: (975)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
JMP 1.0040264C
2011-12-12 20:44
0
四波
雪    币: 231
活跃值: (75)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
6
我也觉得那句跳转后就应该到EP了,可是实际上跳过去了以后dump出来无法运行,那倒确实应该是程序的入口点,因为后来我又下载了那个程序的最新版本,而且是无壳的,入口点确实就跟刚刚那个JMP后面的那句一模一样,但不清楚为什么前面那个dump出来就运行不起呢,求解释,是不是还要修正什么?
2011-12-12 22:02
0
BlueT
雪    币: 517
活跃值: (35)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
7
可能是未处理好[Overlay]吧。
2011-12-13 09:02
0
BlueT
雪    币: 517
活跃值: (35)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
8
啥东西,甩上来看看,(网盘的不要)
2011-12-13 09:04
0
网络游侠
雪    币: 0
活跃值: (964)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
9
别弄了,我都解决了,VMP最早期的版本,自己手动修复IAT 已经跑起来了
2011-12-14 14:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》