(Win)Upack 0.36beta-安全工具-看雪-安全社区|安全招聘|kanxue.com

最新回复 (54) ◀ 1 2 3
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 51 楼最初由 dwing 发布我会去与kaspersky沟通的。不过之前我先研究一下卡巴是如何找特征码的。修改表面特征,入口位置,入口代码和导入表均无效. 最后集中在134H~137H这个位置,修改就不报,但这几个字节是解压代码,修改就无法解压了.而且这个地方无法使用其他代码替换,卡巴果然是够狡猾的. 不过可疑的是卡巴不象McAfee一样针对Upack壳报恶意软件,而是一个病毒变种.而且Upack以前许多版本卡巴都能脱壳杀毒,看来可能是木马传播者搞的. ........ 我用的就是卡巴，呵呵牛吧！鄙视国内那些大牌杀毒软件几百MB的不如人家几十MB的！ 2005-11-14 01:11 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 52 楼最初由爱一个人好难发布我用的就是卡巴，呵呵牛吧！鄙视国内那些大牌杀毒软件几百MB的不如人家几十MB的！有几百MB的杀毒软件吗？不过国内大牌杀毒软件虽然杀毒能力差，但极少有误报的情况。不像国外的某些杀毒软件宁可错杀一百，不可放过一个。 2005-11-14 12:51 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 53 楼喀吧为upack解决问题了 2005-11-14 18:13 0
dingshan 雪币： 200 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 189 粉丝 0 关注私信	dingshan 54 楼最初由 peaceclub 发布喀吧为upack解决问题了恩，误报的问题已经解决了 2005-11-14 19:25 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 55 楼最初由 fly 发布暂停后 BP GetProcAddress [ESP]<10000000 Shift+F9 Alt+F9 WinUpack 0.36 の必?技 OllyDbg Load... F12 暂停命令行下命令 BP GetProcAddress Shift+F9 然后取消断点 Alt+F9 到 004196AA 004196AA /74 1F je short WinUpack.004196CB 004196AC \|51 push ecx 004196AD \|56 push esi 004196AE \|97 xchg eax,edi 004196AF \|FFD1 call ecx 004196B1 \|93 xchg eax,ebx 004196B2 \|AC lods byte ptr ds:[esi] 004196B3 \|84C0 test al,al 004196B5 ^\|75 FB jnz short WinUpack.004196B2 004196B7 \|3806 cmp byte ptr ds:[esi],al 004196B9 ^\|74 EA je short WinUpack.004196A5 004196BB \|8BC6 mov eax,esi 004196BD \|79 05 jns short WinUpack.004196C4 004196BF \|46 inc esi 004196C0 \|33C0 xor eax,eax 004196C2 \|66:AD lods word ptr ds:[esi] 004196C4 \|50 push eax 004196C5 \|53 push ebx 004196C6 \|FFD5 call ebp 004196C8 \|AB stos dword ptr es:[edi] 004196C9 ^\|EB E7 jmp short WinUpack.004196B2 004196CB \C3 retn 直接在 004196CB retn 按下F4 再按一下F8 返回到 OEP -----> 0040A10E ?得新技能 2006-1-6 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (54) ◀ 1 2 3
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 51 楼最初由 dwing 发布我会去与kaspersky沟通的。不过之前我先研究一下卡巴是如何找特征码的。修改表面特征,入口位置,入口代码和导入表均无效. 最后集中在134H~137H这个位置,修改就不报,但这几个字节是解压代码,修改就无法解压了.而且这个地方无法使用其他代码替换,卡巴果然是够狡猾的. 不过可疑的是卡巴不象McAfee一样针对Upack壳报恶意软件,而是一个病毒变种.而且Upack以前许多版本卡巴都能脱壳杀毒,看来可能是木马传播者搞的. ........ 我用的就是卡巴，呵呵牛吧！鄙视国内那些大牌杀毒软件几百MB的不如人家几十MB的！ 2005-11-14 01:11 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 52 楼最初由爱一个人好难发布我用的就是卡巴，呵呵牛吧！鄙视国内那些大牌杀毒软件几百MB的不如人家几十MB的！有几百MB的杀毒软件吗？不过国内大牌杀毒软件虽然杀毒能力差，但极少有误报的情况。不像国外的某些杀毒软件宁可错杀一百，不可放过一个。 2005-11-14 12:51 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 53 楼喀吧为upack解决问题了 2005-11-14 18:13 0
dingshan 雪币： 200 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 189 粉丝 0 关注私信	dingshan 54 楼最初由 peaceclub 发布喀吧为upack解决问题了恩，误报的问题已经解决了 2005-11-14 19:25 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 55 楼最初由 fly 发布暂停后 BP GetProcAddress [ESP]<10000000 Shift+F9 Alt+F9 WinUpack 0.36 の必?技 OllyDbg Load... F12 暂停命令行下命令 BP GetProcAddress Shift+F9 然后取消断点 Alt+F9 到 004196AA 004196AA /74 1F je short WinUpack.004196CB 004196AC \|51 push ecx 004196AD \|56 push esi 004196AE \|97 xchg eax,edi 004196AF \|FFD1 call ecx 004196B1 \|93 xchg eax,ebx 004196B2 \|AC lods byte ptr ds:[esi] 004196B3 \|84C0 test al,al 004196B5 ^\|75 FB jnz short WinUpack.004196B2 004196B7 \|3806 cmp byte ptr ds:[esi],al 004196B9 ^\|74 EA je short WinUpack.004196A5 004196BB \|8BC6 mov eax,esi 004196BD \|79 05 jns short WinUpack.004196C4 004196BF \|46 inc esi 004196C0 \|33C0 xor eax,eax 004196C2 \|66:AD lods word ptr ds:[esi] 004196C4 \|50 push eax 004196C5 \|53 push ebx 004196C6 \|FFD5 call ebp 004196C8 \|AB stos dword ptr es:[edi] 004196C9 ^\|EB E7 jmp short WinUpack.004196B2 004196CB \C3 retn 直接在 004196CB retn 按下F4 再按一下F8 返回到 OEP -----> 0040A10E ?得新技能 2006-1-6 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复