首页
社区
课程
招聘
[求助]样本分析--UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],我是否成功了?
发表于: 2013-10-31 16:08 7262

[求助]样本分析--UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],我是否成功了?

2013-10-31 16:08
7262
通过PEID进行分析,得到如下结果,
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

通过OLLYICE加载,

到达入口点,
00416B80 >  60              pushad     >>入口点
00416B81    BE 00F04000     mov     esi, 0040F000
00416B86    8DBE 0020FFFF   lea     edi, dword ptr [esi+FFFF2000]
00416B8C    57              push    edi
00416B8D    83CD FF         or      ebp, FFFFFFFF
00416B90    EB 10           jmp     short 00416BA2

进行CTR +f 找到   popad F2下断,F9运行,并运行直到长跳转点,如下,

00416CF6    8020 7F         and     byte ptr [eax], 7F
00416CF9    8060 28 7F      and     byte ptr [eax+28], 7F
00416CFD    58              pop     eax
00416CFE    50              push    eax
00416CFF    54              push    esp
00416D00    50              push    eax
00416D01    53              push    ebx
00416D02    57              push    edi
00416D03    FFD5            call    ebp
00416D05    58              pop     eax
00416D06    61              popad   〉下断,并F9运行
00416D07    8D4424 80       lea     eax, dword ptr [esp-80]
00416D0B    6A 00           push    0
00416D0D    39C4            cmp     esp, eax
00416D0F  ^ 75 FA           jnz     short 00416D0B
00416D11    83EC 80         sub     esp, -80
00416D14  - E9 654BFFFF     jmp     0040B87E   >>长跳转
00416D19    0000            add     byte ptr [eax], al
00416D1B    0000            add     byte ptr [eax], al
00416D1D    0000            add     byte ptr [eax], al
00416D1F    0000            add     byte ptr [eax], al
00416D21    0000            add     byte ptr [eax], al
00416D23    0000            add     byte ptr [eax], al
00416D25    0000            add     byte ptr [eax], al
00416D27    0000            add     byte ptr [eax], al

跳转后单步到  0040B87E
0040B87E    6A 70           push    70>>主程序入口?直接DUMP,选方法一
0040B880    68 90C34000     push    0040C390
0040B885    E8 06020000     call    0040BA90
0040B88A    33FF            xor     edi, edi
0040B88C    57              push    edi
0040B88D    FF15 8CC04000   call    dword ptr [40C08C]               ; kernel32.GetModuleHandleA
0040B893    66:8138 4D5A    cmp     word ptr [eax], 5A4D
0040B898    75 1F           jnz     short 0040B8B9
0040B89A    8B48 3C         mov     ecx, dword ptr [eax+3C]
0040B89D    03C8            add     ecx, eax
0040B89F    8139 50450000   cmp     dword ptr [ecx], 4550
0040B8A5    75 12           jnz     short 0040B8B9

结果出来后,再用PEID分析,为Microsoft Visual C++ 6.0 - 8.0 *

想再去更改里面的资源,采用RESOURCE HACKER,发现如下告警:

This file has a non-standard resource layout...
it has probable been comprssed with an "exe compressor"

是我没有脱成功吗?

等指点!谢谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 1329
活跃值: (4340)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
直接用esp定律脱一下试试
2013-10-31 16:20
0
雪    币: 421
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
EAX 00000000
ECX 0012FFB0
EDX 7C92E514 ntdll.KiFastSystemCallRet
EBX 7FFD6000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930228 ntdll.7C930228
EIP 00416D07 Wireless.00416D07
C 0  ES 0023 32位 0(FFFFFFFF)
P 0  CS 001B 32位 0(FFFFFFFF)
A 0  SS 0023 32位 0(FFFFFFFF)
Z 0  DS 0023 32位 0(FFFFFFFF)
S 0  FS 003B 32位 7FFDF000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_NO_IMPERSONATION_TOKEN (0000051D)
EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)
DR0 0012FFA4
DR1 0012FFC4
DR2 00000000
DR3 00000000
DR6 FFFF0FF0
DR7 00330505

ESP的值,与入口是一致的。
2013-10-31 16:45
0
雪    币: 3652
活跃值: (1982)
能力值: ( LV6,RANK:93 )
在线值:
发帖
回帖
粉丝
4
EP找对了,UPX直接找这句,F8过了就是EP:
00416D14  - E9 654BFFFF     jmp     0040B87E   >>长跳转
看用的什么DUMP的,OD插件?用LordPE+ImportFix比较好

另外UPX还是直接用一些UPX脱壳机吧..
2013-10-31 16:50
0
雪    币: 421
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
恩,好的,我试下。

是好多年没有玩过这些了(做硬件设计去了),今天玩了一下,不太熟悉了!
2013-10-31 16:52
0
雪    币: 8233
活跃值: (2736)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
的确解压了,资源要修复,UPX手脱就这样
2013-10-31 18:21
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
如果是为了改东西
还是用脱壳机弄一下比较干净
手脱的话如果编辑软件提示还是有压缩
可以用resource binder之类的软件处理一下就行了
2013-10-31 18:44
0
雪    币: 3305
活跃值: (2027)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
虽不懂,但觉屌。

膜拜手脱大牛。
2013-10-31 22:56
0
雪    币: 87
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
dump 完 用插件修复一下看看
2013-11-1 10:03
0
游客
登录 | 注册 方可回帖
返回
//