[讨论]大家看看这个壳很奇怪的说-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]大家看看这个壳很奇怪的说

发表于: 2006-1-15 16:40 3627

[讨论]大家看看这个壳很奇怪的说

waterun

2006-1-15 16:40

3627

一开始是55,用ESP定律，不管用了，用PEid的deep查看是UPX 0.80 - 1.24 DLL -> Markus & Laszlo，但是用任何UPX脱壳工具都脱不了，软件直接运行会有一个探出窗口说是试用版本，但是跟踪就没有那个弹出窗口。

00788000 I>  55                   push ebp
00788001    0F87 05000000       ja IUBuilde.0078800C
00788007    66:81D6 5359          adc si,5953
0078800C    FC                   cld
0078800D    87F9                xchg ecx,edi
0078800F    0BFB                or edi,ebx
00788011    66:D3C9             ror cx,cl
00788014    87C7                xchg edi,eax
00788016    50                   push eax
00788017    E8 01000000          call IUBuilde.0078801D
0078801C - 79 83                jns short IUBuilde.00787FA1
0078801E    C40458                les eax,fword ptr ds:[eax+ebx*2]
00788021    66:13C8             adc cx,ax
00788024    E8 01000000          call IUBuilde.0078802A
00788029    7A 83                jpe short IUBuilde.00787FAE
0078802B    04 24                add al,24
0078802D    06                   push es
0078802E    C3                   retn
0078802F    77 01                ja short IUBuilde.00788032
00788031    F8                   clc
00788032    BB 6E807800          mov ebx,IUBuilde.0078806E
00788037    B8 352DE85A          mov eax,5AE82D35
0078803C    BA 39DDE67C          mov edx,7CE6DD39
00788041    F9                   stc
00788042    81F2 29DDE67C       xor edx,7CE6DD29
00788048    8B2B                mov ebp,dword ptr ds:[ebx]
0078804A    33E8                xor ebp,eax
0078804C    C1C5 17             rol ebp,17
0078804F    83EB FC             sub ebx,-4
00788052    332B                xor ebp,dword ptr ds:[ebx]
00788054    83C3 FC             add ebx,-4
00788057    892B                mov dword ptr ds:[ebx],ebp
00788059    81F0 5AA12161       xor eax,6121A15A
0078805F    81C3 04000000       add ebx,4
00788065    83EA 01             sub edx,1
00788068 ^ 0F85 DAFFFFFF       jnz IUBuilde.00788048
0078806E    C3                   retn
0078806F - 72 82                jb short IUBuilde.00787FF3
00788071    5D                   pop ebp
00788072    47                   inc edi
00788073    0083 8346DD04       add byte ptr ds:[ebx+4DD4683],al
00788079 ^ 7C D3                jl short IUBuilde.0078804E
0078807B    B1 98                mov cl,98
0078807D    D5 1B                aad 1B
0078807F    E2 28                loopd short IUBuilde.007880A9
00788081    65:78 15             js short IUBuilde.00788099
00788084    FB                   sti
00788085    E4 43                in al,43
00788087    1BEC                sbb ebp,esp
00788089    8B1B                mov ebx,dword ptr ds:[ebx]
0078808B    820E 10             or byte ptr ds:[esi],10
0078808E    51                   push ecx
0078808F    62D6                bound edx,esi                      ; 非法使用寄存器
00788091    CB                   retf

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
waterun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	waterun 2 楼看了很多UPX 0.80 - 1.24 DLL -> Markus & Laszlo的壳都是pushad开头的试用ESP定律基本都能脱，但是这个确实头一次看到 2006-1-15 16:43 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 3 楼自己看ACP的教程. 2006-1-15 17:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

waterun

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
waterun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	waterun 2 楼看了很多UPX 0.80 - 1.24 DLL -> Markus & Laszlo的壳都是pushad开头的试用ESP定律基本都能脱，但是这个确实头一次看到 2006-1-15 16:43 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 3 楼自己看ACP的教程. 2006-1-15 17:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复