首页
社区
课程
招聘
一个upx壳,不会脱,请指点
发表于: 2004-5-31 19:13 5304

一个upx壳,不会脱,请指点

2004-5-31 19:13
5304
收藏
免费 6
支持
分享
最新回复 (5)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
0046C6AC    55              PUSH    EBP
0046C6AD    8BEC            MOV     EBP, ESP
0046C6AF    83C4 F0         ADD     ESP, -10
0046C6B2    B8 BCC44600     MOV     EAX, 0046C4BC
0046C6B7    E8 1097F9FF     CALL    00405DCC
0046C6BC    A1 E8E14600     MOV     EAX, [46E1E8]
0046C6C1    8B00            MOV     EAX, [EAX]
0046C6C3    E8 9079FFFF     CALL    00464058
0046C6C8    A1 E8E14600     MOV     EAX, [46E1E8]
0046C6CD    8B00            MOV     EAX, [EAX]
0046C6CF    BA 0CC74600     MOV     EDX, 0046C70C                    ; ASCII "UHARC GUI v2.0"
0046C6D4    E8 8F75FFFF     CALL    00463C68
0046C6D9    8B0D E0E24600   MOV     ECX, [46E2E0]                    ; UHARC_GU.0046FBE4
0046C6DF    A1 E8E14600     MOV     EAX, [46E1E8]
0046C6E4    8B00            MOV     EAX, [EAX]
0046C6E6    8B15 2C574600   MOV     EDX, [46572C]                    ; UHARC_GU.00465778
0046C6EC    E8 7F79FFFF     CALL    00464070
0046C6F1    A1 E8E14600     MOV     EAX, [46E1E8]
0046C6F6    8B00            MOV     EAX, [EAX]
0046C6F8    E8 F379FFFF     CALL    004640F0
0046C6FD    E8 BE77F9FF     CALL    00403EC0

:D
2004-5-31 19:22
0
雪    币: 208
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ale
3
有没有工具可以脱呀
2004-5-31 19:35
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
upx -d
2004-5-31 19:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
教你手工脱法

以OD载入,首先停在

00501220 >  60              PUSHAD                ----标准的upx壳入口标志
00501221    BE 00E04C00     MOV ESI,UHARC_GU.004CE000
00501226    8DBE 0030F3FF   LEA EDI,DWORD PTR DS:[ESI+FFF33000]
0050122C    57              PUSH EDI
0050122D    83CD FF         OR EBP,FFFFFFFF
00501230    EB 10           JMP SHORT UHARC_GU.00501242

首先在键盘敲 ctrl+f 输入“popad”,按“查找”后,程序跳到:

00501382    61              POPAD          ----按 f4,再按 f8
00501383  - E9 24B3F6FF     JMP UHARC_GU.0046C6AC  ---按 f8 跳向OEP
00501388    A0 135000B0     MOV AL,BYTE PTR DS:[B0005013]
0050138D    1350 00         ADC EDX,DWORD PTR DS:[EAX]
00501390    9C              PUSHFD
00501391    D046 00         ROL BYTE PTR DS:[ESI],1

程序来到这里:

0046C6AC    55              PUSH EBP    ---还楞什麽?这就是OEP,DUMP它,并记下6C6AC
0046C6AD    8BEC            MOV EBP,ESP
0046C6AF    83C4 F0         ADD ESP,-10
0046C6B2    B8 BCC44600     MOV EAX,UHARC_GU.0046C4BC
0046C6B7    E8 1097F9FF     CALL UHARC_GU.00405DCC
0046C6BC    A1 E8E14600     MOV EAX,DWORD PTR DS:[46E1E8]

至此 DUMP 出的程序是脱壳的第一步,下面要修复它的输入表。
启动ImportREC1.6,在oep栏中输入“6C6AC",按“自动搜索IAT”键后,按“获取输入表”键,
可获的若干个“yes”指针,修复你DUMP出的程序,就“OK”了!。
2004-5-31 19:48
0
雪    币: 208
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ale
6
谢谢
2004-5-31 20:16
0
游客
登录 | 注册 方可回帖
返回
//