首页
社区
课程
招聘
菜鸟求助 upx+cryptor
发表于: 2005-10-21 13:15 4922

菜鸟求助 upx+cryptor

2005-10-21 13:15
4922
pe 查不到,fi 查出为 upx+cryptor

不知道此种壳如何下手,请高手指点下,有pe 插件可以自动脱掉,但没脱干净可以运行,

0040C000 >  B8 FC774100      mov eax,破解补丁.004177FC
0040C005    50               push eax
0040C006    64:FF35 00000000 push dword ptr fs:[0]
0040C00D    64:8925 00000000 mov dword ptr fs:[0],esp
0040C014    33C0             xor eax,eax
0040C016    8908             mov dword ptr ds:[eax],ecx
0040C018    50               push eax
0040C019    45               inc ebp
0040C01A    43               inc ebx
0040C01B    6F               outs dx,dword ptr es:[edi]
0040C01C    6D               ins dword ptr es:[edi],dx
0040C01D    70 61            jo short 破解补丁.0040C080
0040C01F    637432 00        arpl word ptr ds:[edx+esi],si
0040C023    24 33            and al,33
0040C025    CC               int3
0040C026    8661 06          xchg byte ptr ds:[ecx+6],ah
0040C029    B2 00            mov dl,0
0040C02B    0000             add byte ptr ds:[eax],al
0040C02D    1848 30          sbb byte ptr ds:[eax+30],cl
0040C030    49               dec ecx
0040C031    0048 64          add byte ptr ds:[eax+64],cl
0040C034    80A2 64880910 50 and byte ptr ds:[edx+10098864],50
0040C03B    690471 28711513  imul eax,dword ptr ds:[ecx+esi*2],13157128
0040C042    24 05            and al,5
0040C044    41               inc ecx
0040C045    0000             add byte ptr ds:[eax],al
0040C047    00C0             add al,al

里面居然有in3,想问下到底是那种壳,如何下手,感谢ing

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
没见过INT3的,但是脱了壳后能编辑资源吗,如果能就脱了,UPX有好多壳就是脱不干净的,我那个加壳的也一样吧,不晓得了 ,等高人回复你吧
2005-10-21 14:39
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
跟进去看壳处理
2005-10-21 15:49
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
这里引发异常 mov dword ptr ds:[eax],ecx
seh handler = 004177FC,去这里看看
2005-10-22 12:26
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
UPX不会这样
应该不是单纯的UPX
2005-10-22 14:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我在破啊D注入工具黑客档案专版时,用FI查到的也是这种壳~~~~按脱UXP的方法脱掉以后,修复了也运行不了~~纳闷~~~。还请高手指点一下~~
2005-10-28 10:08
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
PECompact 2.x -> Jeremy Collake
2005-10-28 10:45
0
雪    币: 277
活跃值: (37)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
PECompact 2.x -> Jeremy Collake现在有伪装UPX的功能了吗?倒是没试过
2005-10-30 10:51
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
谢谢大家,这类弱壳用ESP定律还是很容易脱掉,不过资源方面还是有问题还要跟进壳代码
2005-11-1 13:05
0
游客
登录 | 注册 方可回帖
返回
//