哪位侠客能脱掉"她"的壳(一个很变态的UPX壳)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

哪位侠客能脱掉"她"的壳(一个很变态的UPX壳)

发表于: 2005-8-7 11:55 7997

哪位侠客能脱掉"她"的壳(一个很变态的UPX壳)

suncloud

2005-8-7 11:55

7997

[软件名称]BossKey

[加壳]UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo [Overlay]

[文件地址]http://count.skycn.com/softdownload.php?id=23551&url=http://hdt.downloadsky.com:8080/down/bosskey0728.rar

[说明]
这个壳折腾了我好几天,没想到刚学脱壳就遇到这么变态的壳!!

直接UPX -d不行,修改标志码后还不行!! :<
又用OD加载--dump---修复又不成功,快气死俺了

小弟技术太菜
恳请哪位大侠出手相助,解决掉那个小Ya!!
[联系]
QQ:46***
E-mail:***

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (27) 1 2 ▶
Pr0Zel 雪币： 288 活跃值： (415) 能力值： ( LV9，RANK：290 ) 在线值：发帖 37 回帖 384 粉丝 0 关注私信	Pr0Zel 7 2 楼一个标准格式的UPX壳, 用ESP定律用了不到1秒就到了OEP了, 加上DUMP,用了不到4秒建议楼主去看看教材先 BTW:IAT也不用修复,DUMP出来就可以运行了 2005-8-7 12:11 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 3 楼楼主，你这样有可能被封Id的哦。正如二楼所言，用ESP定律几秒就可搞定的。Borload C++ 1999 编的，至于注册就用爆破吧。 2005-8-7 12:19 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 4 楼同上 ,使用工具秒脱。 2005-8-7 12:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 Borland C++ 手脱时需要手动定位其IAT信息 OEP: 0000156C IATRVA: 0010A148 IATSize: 00000F48 先看论坛规则 2005-8-7 12:34 0
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 6 楼再BT也只不过是UPX而已…… 2005-8-7 12:53 0
cater 雪币： 109 活跃值： (478) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 7 楼 ctrl+b 000000000000000000000000000000000000000000000000000000 向上那个 jmp 断电，运行，f8 直达 OEP 2005-8-7 18:43 0
LOVE 雪币： 2003 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 8 楼 upx能bt哪点？ 874楼主 2005-8-7 20:00 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 9 楼最初由 fly 发布 Borland C++ 手脱时需要手动定位其IAT信息 OEP: 0000156C IATRVA: 0010A148 IATSize: 00000F48 ........ 改了之后，还是不能正常运行呀！！ [提示]"找不到Ordinal,无法定位序数39于动态连接库wsock32.dll" 出了什么问题，你改完直接运行正常吗？？我用的是win2k 2005-8-8 00:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼你需要使用ImportRec修复输入表 2005-8-8 00:42 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 11 楼最初由 fly 发布你需要使用ImportRec修复输入表我已经按照您给的地址修复了呀，上面的提示就是修复后运行时的错误提示，还是出问题呀！不会是我的系统出问题了吧。菜鸟初学，常入歧途；如有图解，万分感激。大虾，我完全是本着学习技术的目的求助的，注册码其次。一个问题问不清我会一直问，开始的路很难走耶！我相信只要走下去会越走越顺，恳请帮忙在看一下：） 2005-8-8 02:54 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 12 楼 Upx ShellEx 直接搞定,手脱需要修复Overlay数据。 2005-8-8 09:00 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 13 楼 ESP定律，再用ollydump插件，其它什么都不用做，运行正常。 2005-8-8 09:26 0
dfui 雪币： 1262 活跃值： (597) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 218 粉丝 4 关注私信	dfui 14 楼 UPX现在成了娲娲菜 2005-8-8 09:52 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 15 楼因有人怀疑我发带病毒的程序,现在删贴,免的引起误会,有请管理员删除附件 2005-8-8 10:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 upx再怎么变形只是upx，不要在这上面纠缠了楼上的用upx 1.24 -d直接脱就行了 2005-8-8 10:46 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 17 楼 fly老大,upx 1.24 -d 能脱干净吗? 脱壳后,Borland Delphi 6.0 - 7.0 [Overlay]大小266K,而实际为441K 2005-8-8 10:55 0
ayan 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	ayan 1 18 楼 0040156C 1_> /EB 10 jmp short 1_.0040157E //脱壳后入口 0040156E \|66:623A bound di,dword ptr ds:[edx] 00401571 \|43 inc ebx 00401572 \|2B2B sub ebp,dword ptr ds:[ebx] 00401574 \|48 dec eax 00401575 \|4F dec edi 00401576 \|4F dec edi 00401577 \|4B dec ebx 00401578 \|90 nop 00401579 -\|E9 98104F00 jmp 008F2616 可是脱完修复后用OD载入还是提示有壳呀 2005-8-8 10:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼最初由 baby2008 发布 fly老大,upx 1.24 -d 能脱干净吗? 脱壳后,Borland Delphi 6.0 - 7.0 [Overlay]大小266K,而实际为441K 说的是外面的upx DelphiUpx2，算了，没意思附件:unpacked.rar 2005-8-8 11:35 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 20 楼这种东西对你来说是小菜一碟 2005-8-8 11:41 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 21 楼谢谢各位大虾，最后用Upx ShellEx 轻松解决掉了。手动脱还不行，可能是因为我不会“ESP定律”,还有"修复overlay"也不懂。我会找文章学习一下，谢谢了！！ 2005-8-8 13:16 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 22 楼原来是个壳,呵呵收下了.谢谢楼上的提供.不过有点简单,2秒脱完了.呵呵我修改下吧.呵呵,FLY,我的壳马上出,到时你再来脱下,看看呵呵.这次没那么好DUMP了.附件:myupx__.rar 2005-8-9 15:19 0
潇潇雪币： 200 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	潇潇 23 楼最初由樱花散落发布原来是个壳,呵呵收下了.谢谢楼上的提供.不过有点简单,2秒脱完了.呵呵我修改下吧.呵呵,FLY,我的壳马上出,到时你再来脱下,看看呵呵.这次没那么好DUMP了.附件:myupx__.rar 哥们 ~@~ 你的壳就是那样的啊`? 我试了下`怎么在WINXP下不能正常运行哦~ 提示说什么运行错误~~~ 2005-8-10 10:21 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 24 楼 BC++的程序不需要复制什么附加数据就手动找IAT就可以修复了在DFCG上看到过 2005-8-10 15:45 0
nsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	nsd 25 楼老大说的对，upx就是upx，呵呵不要在上面纠缠了，但是如果你连她也搞不定，以后学习脱壳就困难了！ 2005-8-10 19:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

suncloud

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
Pr0Zel 雪币： 288 活跃值： (415) 能力值： ( LV9，RANK：290 ) 在线值：发帖 37 回帖 384 粉丝 0 关注私信	Pr0Zel 7 2 楼一个标准格式的UPX壳, 用ESP定律用了不到1秒就到了OEP了, 加上DUMP,用了不到4秒建议楼主去看看教材先 BTW:IAT也不用修复,DUMP出来就可以运行了 2005-8-7 12:11 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 3 楼楼主，你这样有可能被封Id的哦。正如二楼所言，用ESP定律几秒就可搞定的。Borload C++ 1999 编的，至于注册就用爆破吧。 2005-8-7 12:19 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 4 楼同上 ,使用工具秒脱。 2005-8-7 12:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 Borland C++ 手脱时需要手动定位其IAT信息 OEP: 0000156C IATRVA: 0010A148 IATSize: 00000F48 先看论坛规则 2005-8-7 12:34 0
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 6 楼再BT也只不过是UPX而已…… 2005-8-7 12:53 0
cater 雪币： 109 活跃值： (478) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 7 楼 ctrl+b 000000000000000000000000000000000000000000000000000000 向上那个 jmp 断电，运行，f8 直达 OEP 2005-8-7 18:43 0
LOVE 雪币： 2003 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 8 楼 upx能bt哪点？ 874楼主 2005-8-7 20:00 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 9 楼最初由 fly 发布 Borland C++ 手脱时需要手动定位其IAT信息 OEP: 0000156C IATRVA: 0010A148 IATSize: 00000F48 ........ 改了之后，还是不能正常运行呀！！ [提示]"找不到Ordinal,无法定位序数39于动态连接库wsock32.dll" 出了什么问题，你改完直接运行正常吗？？我用的是win2k 2005-8-8 00:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼你需要使用ImportRec修复输入表 2005-8-8 00:42 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 11 楼最初由 fly 发布你需要使用ImportRec修复输入表我已经按照您给的地址修复了呀，上面的提示就是修复后运行时的错误提示，还是出问题呀！不会是我的系统出问题了吧。菜鸟初学，常入歧途；如有图解，万分感激。大虾，我完全是本着学习技术的目的求助的，注册码其次。一个问题问不清我会一直问，开始的路很难走耶！我相信只要走下去会越走越顺，恳请帮忙在看一下：） 2005-8-8 02:54 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 12 楼 Upx ShellEx 直接搞定,手脱需要修复Overlay数据。 2005-8-8 09:00 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 13 楼 ESP定律，再用ollydump插件，其它什么都不用做，运行正常。 2005-8-8 09:26 0
dfui 雪币： 1262 活跃值： (597) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 218 粉丝 4 关注私信	dfui 14 楼 UPX现在成了娲娲菜 2005-8-8 09:52 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 15 楼因有人怀疑我发带病毒的程序,现在删贴,免的引起误会,有请管理员删除附件 2005-8-8 10:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 upx再怎么变形只是upx，不要在这上面纠缠了楼上的用upx 1.24 -d直接脱就行了 2005-8-8 10:46 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 17 楼 fly老大,upx 1.24 -d 能脱干净吗? 脱壳后,Borland Delphi 6.0 - 7.0 [Overlay]大小266K,而实际为441K 2005-8-8 10:55 0
ayan 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	ayan 1 18 楼 0040156C 1_> /EB 10 jmp short 1_.0040157E //脱壳后入口 0040156E \|66:623A bound di,dword ptr ds:[edx] 00401571 \|43 inc ebx 00401572 \|2B2B sub ebp,dword ptr ds:[ebx] 00401574 \|48 dec eax 00401575 \|4F dec edi 00401576 \|4F dec edi 00401577 \|4B dec ebx 00401578 \|90 nop 00401579 -\|E9 98104F00 jmp 008F2616 可是脱完修复后用OD载入还是提示有壳呀 2005-8-8 10:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼最初由 baby2008 发布 fly老大,upx 1.24 -d 能脱干净吗? 脱壳后,Borland Delphi 6.0 - 7.0 [Overlay]大小266K,而实际为441K 说的是外面的upx DelphiUpx2，算了，没意思附件:unpacked.rar 2005-8-8 11:35 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 20 楼这种东西对你来说是小菜一碟 2005-8-8 11:41 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 21 楼谢谢各位大虾，最后用Upx ShellEx 轻松解决掉了。手动脱还不行，可能是因为我不会“ESP定律”,还有"修复overlay"也不懂。我会找文章学习一下，谢谢了！！ 2005-8-8 13:16 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 22 楼原来是个壳,呵呵收下了.谢谢楼上的提供.不过有点简单,2秒脱完了.呵呵我修改下吧.呵呵,FLY,我的壳马上出,到时你再来脱下,看看呵呵.这次没那么好DUMP了.附件:myupx__.rar 2005-8-9 15:19 0
潇潇雪币： 200 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	潇潇 23 楼最初由樱花散落发布原来是个壳,呵呵收下了.谢谢楼上的提供.不过有点简单,2秒脱完了.呵呵我修改下吧.呵呵,FLY,我的壳马上出,到时你再来脱下,看看呵呵.这次没那么好DUMP了.附件:myupx__.rar 哥们 ~@~ 你的壳就是那样的啊`? 我试了下`怎么在WINXP下不能正常运行哦~ 提示说什么运行错误~~~ 2005-8-10 10:21 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 24 楼 BC++的程序不需要复制什么附加数据就手动找IAT就可以修复了在DFCG上看到过 2005-8-10 15:45 0
nsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	nsd 25 楼老大说的对，upx就是upx，呵呵不要在上面纠缠了，但是如果你连她也搞不定，以后学习脱壳就困难了！ 2005-8-10 19:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复