(Win)Upack 0.39final-安全工具-看雪-安全社区|安全招聘|kanxue.com

(Win)Upack 0.39final

发表于: 2005-12-18 01:17 15632

(Win)Upack 0.39final

dwing

2005-12-18 01:17

15632

(Win)Upack 0.39final 周年开发纪念圣诞最终版(可能是最后一个版本)
含中/英/俄三种语言的图形界面版本和一个英文命令行版本.

0.39final -18/12/2005
---------------------
*Slim exe depacker about 23 bytes
+Support preserving original file date and time (-pdt)
*Fix minor bugs

下载:WinUpack39.rar

这一年大大小小升级了数十次,
经历过早期版本McAfee报告的"新的恶意软件",某几天的Kaspersky误报.
直到现在,可能某些不太知名的杀毒软件(如TREND MICRO OfficeScan)仍有"新病毒"的误报.
其实真正使用(Win)Upack的软件很少,用来加木马/恶意软件的倒很多.
可惜逃不掉一些较强的杀毒软件(如Kaspersky,KV2005,Norton等).
因此对壳界也没什么值得留恋的了.

在symantec的程序员Peter Ferrie的帮助下,解压代码的长度又向极限迈了一步.
而PE头部优化也得到了国外网友"luis royo"的热情帮助.
此外还要感谢开发及研究所用工具的开发者,LOGO和图标的提供者,
俄语翻译Dmitry Yerokhin(<PC Magazine>的编辑),以及其他关心此工具的fans.
以上名单均在readme.txt中列出.

下面公布一些关于Upack 0.39压缩EXE文件的一些信息:
PE头部含代码200字节,导入表和导入模块名及函数名共65字节,3个节(其中包含一些解压所需的数据);
PE结尾含代码400字节+0~3个字节对齐数据;
所有脱壳代码600字节(含解压代码,E8/E9指令修正31字节及加载导入模块及函数41字节);
加上PE头,一共912~915字节,即不包括压缩数据,资源表,TLS数据,导出表及额外数据的大小.

另外,对于DLL的压缩仍然不能很好地支持,压缩DLL的方法仍然是0.32beta版.
因此如果确定压缩EXE文件,请确保EXE文件不含有重定位表,或选中"清除重定位表",否则按DLL方式压缩.

如果有严重bug,我会对此版本做修正.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・1

支持

最新回复 (44) 1 2 ▶
lvtx 雪币： 2262 活跃值： (871) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 127 粉丝 17 关注私信	lvtx 2 楼最后一个版本…… 不会吧，舍不得啊，先下载收藏了！ 2005-12-18 02:48 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 3 楼舍不得啊~~~ 给你2个选择： 1.源码留下后，怀念你！ 2.继续发布新版，继续造福大家~~ 2005-12-18 06:17 0
fslove 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 304 粉丝 0 关注私信	fslove 4 楼最后一个版本了哈收藏了。希望放出源代码 2005-12-18 07:17 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼可能是最后一个版本？放弃太可惜了，如太忙建议暂时放弃更新，等以后有时间继续更新。好男儿不言轻易放弃 2005-12-18 07:32 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 6 楼下载.已代为转发到cracklab.ru 2005-12-18 08:19 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 7 楼收藏先,支持继续开发 2005-12-18 09:48 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼大家都支持你,继续吧~ 2005-12-18 11:13 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 9 楼放弃开发太可惜了 2005-12-18 11:23 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 10 楼继续开发！放弃可惜了。 2005-12-18 11:32 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 11 楼 dwing肯定觉得没有多少可压缩的了. 继续弄dotnet/share字段的程序压缩吧 2005-12-18 11:35 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 12 楼 Upack的源代码写的很乱,不值得大家研究了:p 其实还有比Upack的优化还BT的壳,有兴趣可以研究研究下面一个小程序所用的壳(不是病毒,可以放心执行): 附件:noyel2k5.rar 2005-12-18 12:21 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 13 楼最初由 dwing 发布 Upack的源代码写的很乱,不值得大家研究了:p 其实还有比Upack的优化还BT的壳,有兴趣可以研究研究下面一个小程序所用的壳(不是病毒,可以放心执行): 附件:noyel2k5.rar 对你优化的LZMA引擎比较感兴趣 2005-12-18 12:32 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 14 楼 final 版本纪念一下，一路走好。 2005-12-18 13:49 0
jackppy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	jackppy 15 楼最后一个版本了？听到这个消息心情真不好：（舍不得啊~~~ 为什么好的软件总是半途而废？ 2005-12-18 14:27 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 16 楼最初由 jackppy 发布最后一个版本了？听到这个消息心情真不好：（舍不得啊~~~ 为什么好的软件总是半途而废？同感啊，先是老早就废了一个nspack，现在upack又要退出。 2005-12-18 14:55 0
dingshan 雪币： 200 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 189 粉丝 0 关注私信	dingshan 17 楼怎么会是最后一个版本？希望Upack能继续开发下去 2005-12-18 16:28 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 18 楼其实我并不是半途而废,而是该优化的已经都优化了. 现在对EXE加壳的兼容性已经达到95%以上,再提高1%的话,付出就得不偿失了. 不能一直发布beta版呀,好像逃避杀毒软件一样. 不要以为0.xx版就是没完成,版本号的大小本来就没什么太大意义. 我也没想到有如此多人关注.心情不好是完全没有必要的,Upack已经达到开始期望的水平. 因此发布最后一版,作为圣诞和新年的礼物吧. 2005-12-18 17:52 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 19 楼最初由 dwing 发布 Upack的源代码写的很乱,不值得大家研究了:p 其实还有比Upack的优化还BT的壳,有兴趣可以研究研究下面一个小程序所用的壳(不是病毒,可以放心执行): 附件:noyel2k5.rar 麻烦告诉一下，这个壳名，或者那里下！！谢谢了 2005-12-18 17:59 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 20 楼最初由 kanxue 发布对你优化的LZMA引擎比较感兴趣既然老大发话了,就提供出来供参考. 由于只使用BT4的匹配算法,并省了一部分功能,压缩代码小了不少. //定义回调函数原型.传入的insize和outsize是当前源文件已经压缩的大小和当前压缩输出的大小. typedef void (__stdcall* ZCALLBACK)(unsigned insize,unsigned outsize); //LZMA 4.30的文件到文件压缩函数(其他参数固定:lp=pb=0,匹配算法为BT4), //返回0表示正确,其他值表示出错. //压缩后的文件格式与LZMA SDK附带程序产生的压缩文件相同,但没有前13字节的参数数据. extern "C" int __stdcall lzmaenc( char infile, //输入文件名 char outfile, //输出文件名 unsigned dictsize, //字典大小(2^dictsize字节)(内存使用是字典大小的约10倍) unsigned lc, //lc参数(0~8) unsigned fb, //fb参数(5~273) ZCALLBACK callback);//回调函数(可以为0,表示不使用) 解压缩比较简单,参考LZMA SDK的程序吧,只要注意参数要传正确就可以了. 附:lzmaenc.lib 2005-12-18 18:08 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 21 楼最初由爱一个人好难发布麻烦告诉一下，这个壳名，或者那里下！！谢谢了呵呵......如果有人脱掉noyel2k5.exe的壳,我就提供加壳程序. 2005-12-18 18:14 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 22 楼牛,支持开发 2005-12-18 20:17 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 23 楼最初由 dwing 发布呵呵......如果有人脱掉noyel2k5.exe的壳,我就提供加壳程序. IAT Imprec处理有问题...,问题解决了.搬运代码解决的.感谢fly提示.HOHO 2005-12-18 23:04 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 24 楼 004113FF 55 PUSH EBP /**光明之颠*** 00411400 8BEC MOV EBP,ESP 00411402 83EC 30 SUB ESP,30 00411405 E8 2AFAFFFF CALL noyel2k5.00410E34 0041140A FF15 04D65100 CALL DWORD PTR DS:[51D604] ; kernel32.GetTickCount 00411410 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 00411413 C745 EC 00000000 MOV DWORD PTR SS:[EBP-14],0 0041141A DF6D E8 FILD QWORD PTR SS:[EBP-18] 0041141D DC0D B8234100 FMUL QWORD PTR DS:[4123B8] 00411423 D91D E0D55100 FSTP DWORD PTR DS:[51D5E0] 00411429 6A 1B PUSH 1B 0041142B FF15 28D65100 CALL DWORD PTR DS:[51D628] ; user32.GetAsyncKeyState 00411431 0FBFC0 MOVSX EAX,AX 00411434 85C0 TEST EAX,EAX 00411436 0F85 36020000 JNZ noyel2k5.00411672 0041143C E8 57F2FFFF CALL noyel2k5.00410698 00411441 25 FF000000 AND EAX,0FF 00411446 85C0 TEST EAX,EAX 00411448 0F84 24020000 JE noyel2k5.00411672 0041144E FF15 04D65100 CALL DWORD PTR DS:[51D604] ; kernel32.GetTickCount 00411454 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 00411457 C745 E4 00000000 MOV DWORD PTR SS:[EBP-1C],0 0041145E DF6D E0 FILD QWORD PTR SS:[EBP-20] 2005-12-18 23:11 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 25 楼最初由 peaceclub 发布看来dwing要失算了~ 2005-12-18 23:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dwing

发帖

883

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (44) 1 2 ▶
lvtx 雪币： 2262 活跃值： (871) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 127 粉丝 17 关注私信	lvtx 2 楼最后一个版本…… 不会吧，舍不得啊，先下载收藏了！ 2005-12-18 02:48 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 3 楼舍不得啊~~~ 给你2个选择： 1.源码留下后，怀念你！ 2.继续发布新版，继续造福大家~~ 2005-12-18 06:17 0
fslove 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 304 粉丝 0 关注私信	fslove 4 楼最后一个版本了哈收藏了。希望放出源代码 2005-12-18 07:17 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼可能是最后一个版本？放弃太可惜了，如太忙建议暂时放弃更新，等以后有时间继续更新。好男儿不言轻易放弃 2005-12-18 07:32 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 6 楼下载.已代为转发到cracklab.ru 2005-12-18 08:19 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 7 楼收藏先,支持继续开发 2005-12-18 09:48 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼大家都支持你,继续吧~ 2005-12-18 11:13 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 9 楼放弃开发太可惜了 2005-12-18 11:23 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 10 楼继续开发！放弃可惜了。 2005-12-18 11:32 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 11 楼 dwing肯定觉得没有多少可压缩的了. 继续弄dotnet/share字段的程序压缩吧 2005-12-18 11:35 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 12 楼 Upack的源代码写的很乱,不值得大家研究了:p 其实还有比Upack的优化还BT的壳,有兴趣可以研究研究下面一个小程序所用的壳(不是病毒,可以放心执行): 附件:noyel2k5.rar 2005-12-18 12:21 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 13 楼最初由 dwing 发布 Upack的源代码写的很乱,不值得大家研究了:p 其实还有比Upack的优化还BT的壳,有兴趣可以研究研究下面一个小程序所用的壳(不是病毒,可以放心执行): 附件:noyel2k5.rar 对你优化的LZMA引擎比较感兴趣 2005-12-18 12:32 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 14 楼 final 版本纪念一下，一路走好。 2005-12-18 13:49 0
jackppy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	jackppy 15 楼最后一个版本了？听到这个消息心情真不好：（舍不得啊~~~ 为什么好的软件总是半途而废？ 2005-12-18 14:27 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 16 楼最初由 jackppy 发布最后一个版本了？听到这个消息心情真不好：（舍不得啊~~~ 为什么好的软件总是半途而废？同感啊，先是老早就废了一个nspack，现在upack又要退出。 2005-12-18 14:55 0
dingshan 雪币： 200 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 189 粉丝 0 关注私信	dingshan 17 楼怎么会是最后一个版本？希望Upack能继续开发下去 2005-12-18 16:28 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 18 楼其实我并不是半途而废,而是该优化的已经都优化了. 现在对EXE加壳的兼容性已经达到95%以上,再提高1%的话,付出就得不偿失了. 不能一直发布beta版呀,好像逃避杀毒软件一样. 不要以为0.xx版就是没完成,版本号的大小本来就没什么太大意义. 我也没想到有如此多人关注.心情不好是完全没有必要的,Upack已经达到开始期望的水平. 因此发布最后一版,作为圣诞和新年的礼物吧. 2005-12-18 17:52 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 19 楼最初由 dwing 发布 Upack的源代码写的很乱,不值得大家研究了:p 其实还有比Upack的优化还BT的壳,有兴趣可以研究研究下面一个小程序所用的壳(不是病毒,可以放心执行): 附件:noyel2k5.rar 麻烦告诉一下，这个壳名，或者那里下！！谢谢了 2005-12-18 17:59 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 20 楼最初由 kanxue 发布对你优化的LZMA引擎比较感兴趣既然老大发话了,就提供出来供参考. 由于只使用BT4的匹配算法,并省了一部分功能,压缩代码小了不少. //定义回调函数原型.传入的insize和outsize是当前源文件已经压缩的大小和当前压缩输出的大小. typedef void (__stdcall* ZCALLBACK)(unsigned insize,unsigned outsize); //LZMA 4.30的文件到文件压缩函数(其他参数固定:lp=pb=0,匹配算法为BT4), //返回0表示正确,其他值表示出错. //压缩后的文件格式与LZMA SDK附带程序产生的压缩文件相同,但没有前13字节的参数数据. extern "C" int __stdcall lzmaenc( char infile, //输入文件名 char outfile, //输出文件名 unsigned dictsize, //字典大小(2^dictsize字节)(内存使用是字典大小的约10倍) unsigned lc, //lc参数(0~8) unsigned fb, //fb参数(5~273) ZCALLBACK callback);//回调函数(可以为0,表示不使用) 解压缩比较简单,参考LZMA SDK的程序吧,只要注意参数要传正确就可以了. 附:lzmaenc.lib 2005-12-18 18:08 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 21 楼最初由爱一个人好难发布麻烦告诉一下，这个壳名，或者那里下！！谢谢了呵呵......如果有人脱掉noyel2k5.exe的壳,我就提供加壳程序. 2005-12-18 18:14 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 22 楼牛,支持开发 2005-12-18 20:17 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 23 楼最初由 dwing 发布呵呵......如果有人脱掉noyel2k5.exe的壳,我就提供加壳程序. IAT Imprec处理有问题...,问题解决了.搬运代码解决的.感谢fly提示.HOHO 2005-12-18 23:04 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 24 楼 004113FF 55 PUSH EBP /**光明之颠*** 00411400 8BEC MOV EBP,ESP 00411402 83EC 30 SUB ESP,30 00411405 E8 2AFAFFFF CALL noyel2k5.00410E34 0041140A FF15 04D65100 CALL DWORD PTR DS:[51D604] ; kernel32.GetTickCount 00411410 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX 00411413 C745 EC 00000000 MOV DWORD PTR SS:[EBP-14],0 0041141A DF6D E8 FILD QWORD PTR SS:[EBP-18] 0041141D DC0D B8234100 FMUL QWORD PTR DS:[4123B8] 00411423 D91D E0D55100 FSTP DWORD PTR DS:[51D5E0] 00411429 6A 1B PUSH 1B 0041142B FF15 28D65100 CALL DWORD PTR DS:[51D628] ; user32.GetAsyncKeyState 00411431 0FBFC0 MOVSX EAX,AX 00411434 85C0 TEST EAX,EAX 00411436 0F85 36020000 JNZ noyel2k5.00411672 0041143C E8 57F2FFFF CALL noyel2k5.00410698 00411441 25 FF000000 AND EAX,0FF 00411446 85C0 TEST EAX,EAX 00411448 0F84 24020000 JE noyel2k5.00411672 0041144E FF15 04D65100 CALL DWORD PTR DS:[51D604] ; kernel32.GetTickCount 00411454 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 00411457 C745 E4 00000000 MOV DWORD PTR SS:[EBP-1C],0 0041145E DF6D E0 FILD QWORD PTR SS:[EBP-20] 2005-12-18 23:11 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 25 楼最初由 peaceclub 发布看来dwing要失算了~ 2005-12-18 23:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复