首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 资源下载
    3. 发新帖
(Win)Upack 0.36beta
发表于: 2005-10-14 11:10 8779

(Win)Upack 0.36beta

dwing 活跃值
1
2005-10-14 11:10
8779
(Win)Upack 0.36beta (最新稳定版)(命令行/中英文图形界面)

解压代码较0.32beta进一步优化(约148字节).
经VirusTotal测试,解决了目前所有的病毒误报或怀疑的问题.
(我不希望再有人拿它加壳木马了,几乎没有作用)
另外,OllyDBG1.10似乎无法载入此版本压缩的程序.
如有解决办法请告之.谢谢!
也可以到这里留言: http://post.baidu.com/f?kw=dwing

附件:winupack36.zip

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (54)
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
另外PEiD查此壳会挂掉,W32Dasm也无法加载.
不过我只关心能否正常运行
2005-10-14 11:21
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
3
支持!
悄悄问下,http://www.7-zip.org/zh-cn/sdk.html 提供的LZMA引擎,在VC里如何调用其压缩模块?
2005-10-14 11:26
0
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 kanxue 发布
支持!
悄悄问下,http://www.7-zip.org/zh-cn/sdk.html 提供的LZMA引擎,在VC里如何调用其压缩模块?


我用纯C接口封装了一下那个SDK,并做了个lib.
由于需要callback来做进度,因此还需要稍微修改一下源代码.
2005-10-14 11:38
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
5
暂停在系统断点后
直接用API断点就可以调试脱壳了

00414262   /74 1F           je short 00414283
00414264   |51              push ecx
00414265   |56              push esi
00414266   |97              xchg eax,edi
00414267   |FFD1            call ecx
00414269   |93              xchg eax,ebx
0041426A   |AC              lods byte ptr ds:[esi]
0041426B   |84C0            test al,al
0041426D   |75 FB           jnz short 0041426A
0041426F   |3806            cmp byte ptr ds:[esi],al
00414271   |74 EA           je short 0041425D
00414273   |8BC6            mov eax,esi
00414275   |79 05           jns short 0041427C
00414277   |46              inc esi
00414278   |33C0            xor eax,eax
0041427A   |66:AD           lods word ptr ds:[esi]
0041427C   |50              push eax
0041427D   |53              push ebx
0041427E   |FFD5            call ebp
00414280   |AB              stos dword ptr es:[edi]
00414281   |EB E7           jmp short 0041426A
00414283   \C3              retn
2005-10-14 11:44
0
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 fly 发布
暂停在系统断点后
直接用API断点就可以调试脱壳了
........


我用OD加载时显示:

    错误的或者未知格式的32位可执行文件“WinUpackC.EXE”

然后就停在这里:

    7C921231    C3               retn

请教fly,如何解决?
2005-10-14 11:56
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
7
暂停后
BP GetProcAddress [ESP]<10000000
Shift+F9
Alt+F9
2005-10-14 11:59
0
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 fly 发布
暂停后
BP GetProcAddress [ESP]<10000000
Shift+F9
Alt+F9


学习了.
2005-10-14 12:10
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
9
Lordpe把NumOfRVAandSize:
0000000A=>00000010 就可以ollydbg调试了.
2005-10-14 12:23
0
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 peaceclub 发布
Lordpe把NumOfRVAandSize:
0000000A=>00000010 就可以ollydbg调试了.


那样改的话不用说调试,运行都不能了.(WinXPsp2下)
2005-10-14 13:05
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
11
呵呵,没注意。一般情况下NumOfRVAandSize默认都是00000010,把普通的一个exe这个值改成其它的,exe能运行,ollydbg不能载入。
你这个头部压缩得太厉害,用fly的方法是凑效的。
2005-10-14 13:33
0
闪电狼
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
资源怎么修复
2005-10-14 13:55
0
baby2008
雪    币: 442
活跃值: (1216)
能力值: ( LV12,RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
13
最初由 peaceclub 发布
呵呵,没注意。一般情况下NumOfRVAandSize默认都是00000010,把普通的一个exe这个值改成其它的,exe能运行,ollydbg不能载入。
你这个头部压缩得太厉害,用fly的方法是凑效的。


学一招
2005-10-14 14:01
0
qq7119
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
支持你 比起 现在的北斗壳
人品较好
2005-10-14 14:44
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
15
Unpacked:附件:dump_.zip
2005-10-14 15:15
0
yygx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
谢谢!一直用这个压缩,前阵被卖咖啡搞的没法用,现在好了。
2005-10-14 17:14
0
kingjia
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
呵呵,看来国内的牛人也多起来了
强!!!!!
dwing辛苦了
2005-10-16 19:18
0
linestyle
雪    币: 217
活跃值: (15)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
18
牛人啊
2005-10-16 21:19
0
auser
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
支持楼主!这个壳一直被反病毒软件报木马,真没办法。
楼主如果自己出一个脱壳机,估计就没有什么木马会使用这个东东了。
2005-10-18 19:58
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
20
支持:upack -d *.exe
2005-10-18 20:04
0
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
21
最初由 auser 发布
支持楼主!这个壳一直被反病毒软件报木马,真没办法。
楼主如果自己出一个脱壳机,估计就没有什么木马会使用这个东东了。


其实脱壳机不太好写,无法还原与原来一样的文件.
而且清除有些没用的数据比UPX要多.

其实就算有脱壳机,也不能说木马就不使用了.
木马的目的不是防脱壳,而是逃避杀软.
2005-10-21 14:36
0
AntiDebug
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
支持,学习了!
2005-10-24 22:56
0
爱一个人好难
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
好多杀毒软件报病毒!

建议作者更新
2005-11-9 16:42
0
dwing
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
24
This is a report processed by VirusTotal on 11/11/2005 at 11:17:54 (CET) after scanning the file "WinUpackE36.exe" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.11.2005 no virus found
Avast 4.6.695.0 11.09.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.11.2005 no virus found
BitDefender 7.2 11.11.2005 no virus found
CAT-QuickHeal 8.00 11.11.2005 no virus found
ClamAV devel-20051108 11.11.2005 no virus found
DrWeb 4.33 11.11.2005 no virus found
eTrust-Iris 7.1.194.0 11.10.2005 no virus found
eTrust-Vet 11.9.1.0 11.11.2005 no virus found
Fortinet 2.48.0.0 11.10.2005 no virus found
F-Prot 3.16c 11.10.2005 no virus found
Ikarus 0.2.59.0 11.10.2005 no virus found
Kaspersky 4.0.2.24 11.11.2005 no virus found
McAfee 4625 11.10.2005 no virus found
NOD32v2 1.1283 11.10.2005 no virus found
Norman 5.70.10 11.10.2005 no virus found
Panda 8.02.00 11.10.2005 no virus found
Sophos 3.99.0 11.11.2005 no virus found
Symantec 8.0 11.10.2005 no virus found
TheHacker 5.9.1.033 11.11.2005 no virus found
VBA32 3.10.4 11.10.2005 no virus found
2005-11-11 18:29
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
25
目前正常软件加壳后,卖咖啡报告病毒.
2005-11-11 19:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//