[求助]手动脱UPX壳求助-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]手动脱UPX壳求助 0.00雪花

发表于: 2015-4-23 19:32 2255

[旧帖] [求助]手动脱UPX壳求助 0.00雪花

llt刘力涛

2015-4-23 19:32

2255

到popad就跳出执行程序了，怎么跳转到程序入口啊（PUSH EBP），过不去

教程上还说程序入口地址在004578F4，用Imprec修复时填eop为什么填000578F4，那个4哪去了？

大牛别笑，本人菜鸟

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

不跳转.png （7.40kb，1次下载）

收藏・0

免费・0

支持

最新回复 (22)
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 2 楼这个jmp调到的地址，就是oep了…upx不是有个特点，一个比较大的夸段后，基本上就是oep呀。 2015-4-23 19:57 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 3 楼转不过去啊，按F8后没反应，程序倒是运行了，就是od不跳转过去 2015-4-23 20:04 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 4 楼 EIP指向77defc8e了，怎么调试中断了啊？不应该是指向popad的0046AD56吗？程序倒是运行了，怎么用ollydbg跳到入口？上传的附件：不跳转2.png （15.01kb，2次下载） 2015-4-23 20:17 0
Lakitu 雪币： 2663 活跃值： (2081) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 173 粉丝 1 关注私信	Lakitu 1 5 楼你看你软件是拿什么语言写的，每种语言都有入口特征，还有，能把源文件上传么，我也(ˇ?ˇ) 想～玩 2015-4-23 20:30 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 6 楼你是在0046ad50这一句出问题了？上传下文件吧，我看看 2015-4-23 20:30 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 7 楼 ex1.zip “在Oep处填000578F4,点IT自动搜索,然后点获输入信息,看到输入表全部有效,点修复抓取文件按钮,选择Dump的文件,修复它,正常运行” push ebp地址004578F4，为为什么oep处填000578F4而不是004578F4？怎么我修复了就不能运行了？上传的附件： ex1.zip （167.35kb，11次下载）上传1.png （411.14kb，2次下载） 2015-4-23 20:48 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 8 楼 UPX 0.89 - 3.xx -> Markus & Laszlo ver. [ 1.01 ] <- from file. ( sign like UPX packer ) 载入od 单步到 0046AD50 这一句在按f8 发现程序跑飞。。。 0046AD4E ^\EB E1 jmp Xex1.0046AD31 0046AD50 FF96 64AA0600 call dword ptr ds:[esi+0x6AA64] 0046AD56 61 popad 就使用esp定律。。。重新载入od 0046AC00 > 60 pushad 0046AC01 BE 00104400 mov esi,ex1.00441000 0046AC06 8DBE 0000FCFF lea edi,dword ptr ds:[esi+0xFFFC0000] 停在0046AC00，单步按f8 显示esp发生了变化，复制esp的值我那是0012FFC4，然后在od command处输入 hr 0012FFC4 ，给0012FFC4下硬件读取断点，按f9让软件运行，然后就停在了0046AD57处成功跳过了单步跟时在上面call跑飞的问题。。。 0046AD56 61 popad 0046AD57 ^ E9 98CBFEFF jmp ex1.004578F4 0046AD5C ^ 74 AD je Xex1.0046AD0B 在继续f8 004578F4 55 push ebp 004578F5 8BEC mov ebp,esp 004578F7 83C4 F4 add esp,-0xC 004578FA B8 AC774500 mov eax,ex1.004577AC 来到这里就是真正的入口了... dump出来在查壳，发现是EP code like Delphi/C++ but different structure ... gameover~ 具体原因我不晓得，遇到几个upx壳的，单步跟就会跑飞，但是给esp下断，就能到，不知道为啥~ 求大神解惑！ 2015-4-23 21:16 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 9 楼至于你说的那个000578F4 ，这应该是文件偏移还是啥，exe 的pe结构地址是从0开始的，但是应用程序执行后，就有了一个baseaddress 。在程序虚拟内存地址中，代码的地址就变成了 baseaddress+偏移~ 这里 baseaddress是00400000，并不是所有程序baseaddress 都是这个值 2015-4-23 21:20 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 10 楼你dump出来的文件能运行吗？ 2015-4-23 21:28 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 11 楼可以运行。 2015-4-23 21:28 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 12 楼上传了~ 2015-4-23 21:31 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 13 楼好吧附件没搞上，不会上传了 2015-4-23 21:32 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 14 楼一般怎么dump啊？我搞出来没法运行 2015-4-23 21:35 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 15 楼 004578F4 55 push ebp 选中这个地址，插件 ollydump -》脱壳在当前调试进程-》点一下获取eip作为oep... 下面可以选方式1，也可以选方式2，建议都弄一个... 我就选了方式1 然后点击脱壳... 上传的附件： QQ截图20150423215519.png （34.84kb，1次下载） 2015-4-23 21:58 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 16 楼为什么不行啊？大大们求助上传的附件：不能运行.png （13.77kb，1次下载） 2015-4-23 22:05 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 17 楼为什么我弄得不行上传的附件：不能运行.png （13.77kb，1次下载） 2015-4-23 22:07 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 18 楼为什么我不行? 上传的附件：不能运行.png （13.77kb，1次下载） 2015-4-23 22:10 0
Lakitu 雪币： 2663 活跃值： (2081) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 173 粉丝 1 关注私信	Lakitu 1 19 楼脱出来了，jump到004578f4的时候CTRL+A就好了，imagebase是00400000，所以OEP是578f4,没问题 2015-4-23 22:43 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 20 楼都能运行吗？为什么我不能运行？ 2015-4-24 08:41 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 21 楼会不会是od插件有问题？怎么就运行不了？ 2015-4-24 11:09 0
JanFeFe 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	JanFeFe 22 楼建议楼主先理解三种地址的概念 VA RVA FA 看一下这个就明白了 2015-4-24 11:57 0
TJocker 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	TJocker 23 楼刚刚看这方面的内容！ 2015-4-27 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

llt刘力涛

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 2 楼这个jmp调到的地址，就是oep了…upx不是有个特点，一个比较大的夸段后，基本上就是oep呀。 2015-4-23 19:57 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 3 楼转不过去啊，按F8后没反应，程序倒是运行了，就是od不跳转过去 2015-4-23 20:04 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 4 楼 EIP指向77defc8e了，怎么调试中断了啊？不应该是指向popad的0046AD56吗？程序倒是运行了，怎么用ollydbg跳到入口？上传的附件：不跳转2.png （15.01kb，2次下载） 2015-4-23 20:17 0
Lakitu 雪币： 2663 活跃值： (2081) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 173 粉丝 1 关注私信	Lakitu 1 5 楼你看你软件是拿什么语言写的，每种语言都有入口特征，还有，能把源文件上传么，我也(ˇ?ˇ) 想～玩 2015-4-23 20:30 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 6 楼你是在0046ad50这一句出问题了？上传下文件吧，我看看 2015-4-23 20:30 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 7 楼 ex1.zip “在Oep处填000578F4,点IT自动搜索,然后点获输入信息,看到输入表全部有效,点修复抓取文件按钮,选择Dump的文件,修复它,正常运行” push ebp地址004578F4，为为什么oep处填000578F4而不是004578F4？怎么我修复了就不能运行了？上传的附件： ex1.zip （167.35kb，11次下载）上传1.png （411.14kb，2次下载） 2015-4-23 20:48 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 8 楼 UPX 0.89 - 3.xx -> Markus & Laszlo ver. [ 1.01 ] <- from file. ( sign like UPX packer ) 载入od 单步到 0046AD50 这一句在按f8 发现程序跑飞。。。 0046AD4E ^\EB E1 jmp Xex1.0046AD31 0046AD50 FF96 64AA0600 call dword ptr ds:[esi+0x6AA64] 0046AD56 61 popad 就使用esp定律。。。重新载入od 0046AC00 > 60 pushad 0046AC01 BE 00104400 mov esi,ex1.00441000 0046AC06 8DBE 0000FCFF lea edi,dword ptr ds:[esi+0xFFFC0000] 停在0046AC00，单步按f8 显示esp发生了变化，复制esp的值我那是0012FFC4，然后在od command处输入 hr 0012FFC4 ，给0012FFC4下硬件读取断点，按f9让软件运行，然后就停在了0046AD57处成功跳过了单步跟时在上面call跑飞的问题。。。 0046AD56 61 popad 0046AD57 ^ E9 98CBFEFF jmp ex1.004578F4 0046AD5C ^ 74 AD je Xex1.0046AD0B 在继续f8 004578F4 55 push ebp 004578F5 8BEC mov ebp,esp 004578F7 83C4 F4 add esp,-0xC 004578FA B8 AC774500 mov eax,ex1.004577AC 来到这里就是真正的入口了... dump出来在查壳，发现是EP code like Delphi/C++ but different structure ... gameover~ 具体原因我不晓得，遇到几个upx壳的，单步跟就会跑飞，但是给esp下断，就能到，不知道为啥~ 求大神解惑！ 2015-4-23 21:16 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 9 楼至于你说的那个000578F4 ，这应该是文件偏移还是啥，exe 的pe结构地址是从0开始的，但是应用程序执行后，就有了一个baseaddress 。在程序虚拟内存地址中，代码的地址就变成了 baseaddress+偏移~ 这里 baseaddress是00400000，并不是所有程序baseaddress 都是这个值 2015-4-23 21:20 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 10 楼你dump出来的文件能运行吗？ 2015-4-23 21:28 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 11 楼可以运行。 2015-4-23 21:28 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 12 楼上传了~ 2015-4-23 21:31 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 13 楼好吧附件没搞上，不会上传了 2015-4-23 21:32 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 14 楼一般怎么dump啊？我搞出来没法运行 2015-4-23 21:35 0
大p 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	大p 15 楼 004578F4 55 push ebp 选中这个地址，插件 ollydump -》脱壳在当前调试进程-》点一下获取eip作为oep... 下面可以选方式1，也可以选方式2，建议都弄一个... 我就选了方式1 然后点击脱壳... 上传的附件： QQ截图20150423215519.png （34.84kb，1次下载） 2015-4-23 21:58 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 16 楼为什么不行啊？大大们求助上传的附件：不能运行.png （13.77kb，1次下载） 2015-4-23 22:05 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 17 楼为什么我弄得不行上传的附件：不能运行.png （13.77kb，1次下载） 2015-4-23 22:07 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 18 楼为什么我不行? 上传的附件：不能运行.png （13.77kb，1次下载） 2015-4-23 22:10 0
Lakitu 雪币： 2663 活跃值： (2081) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 173 粉丝 1 关注私信	Lakitu 1 19 楼脱出来了，jump到004578f4的时候CTRL+A就好了，imagebase是00400000，所以OEP是578f4,没问题 2015-4-23 22:43 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 20 楼都能运行吗？为什么我不能运行？ 2015-4-24 08:41 0
llt刘力涛雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	llt刘力涛 21 楼会不会是od插件有问题？怎么就运行不了？ 2015-4-24 11:09 0
JanFeFe 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	JanFeFe 22 楼建议楼主先理解三种地址的概念 VA RVA FA 看一下这个就明白了 2015-4-24 11:57 0
TJocker 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	TJocker 23 楼刚刚看这方面的内容！ 2015-4-27 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复