ASPack 2.12 -> Alexey Solodovnikov 与UPX怎么脱-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ASPack 2.12 -> Alexey Solodovnikov 与UPX怎么脱

发表于: 2006-2-4 00:38 6628

ASPack 2.12 -> Alexey Solodovnikov 与UPX怎么脱

opxlz

2006-2-4 00:38

6628

peid  ASPack 2.12 -> Alexey Solodovnikov 再区段中有UPX的段名
用ASP的脱壳机脱后为  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 用UPX脱壳机  或手工脱  都不能成功有谁碰到过这样的说说怎么脱 UPX好像是伪装的

Alexey Solodovnikov 入口
00422001 >  60             PUSHAD
00422002 E8 03000000    CALL WEIbind.0042200A
00422007  - E9 EB045D45    JMP 459F24F7
0042200C 55             PUSH EBP
0042200D C3             RETN
0042200E E8 01000000    CALL WEIbind.00422014
00422013 EB 5D          JMP SHORT WEIbind.00422072
00422015 BB EDFFFFFF    MOV EBX,-13
0042201A 03DD          ADD EBX,EBP
0042201C 81EB 00200200 SUB EBX,22000
00422022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
00422029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0042202F 0F85 65030000 JNZ WEIbind.0042239A
00422035 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E]
0042203B 50             PUSH EAX
0042203C FF95 4D0F0000 CALL DWORD PTR SS:[EBP+F4D]
00422042 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX
00422048 8BF8          MOV EDI,EAX
0042204A 8D5D 5E       LEA EBX,DWORD PTR SS:[EBP+5E]
0042204D 53             PUSH EBX
0042204E 50             PUSH EAX
0042204F FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
00422055 8985 4D050000 MOV DWORD PTR SS:[EBP+54D],EAX
0042205B 8D5D 6B       LEA EBX,DWORD PTR SS:[EBP+6B]
0042205E 53             PUSH EBX
0042205F 57             PUSH EDI
00422060 FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
00422066 8985 51050000 MOV DWORD PTR SS:[EBP+551],EAX

upx 入口
0041F660 > $  60          PUSHAD
0041F661 .  BE 00D04100 MOV ESI,_UnPacke.0041D000
0041F666 .  8DBE 0040FEFF LEA EDI,DWORD PTR DS:[ESI+FFFE4000]
0041F66C .  57          PUSH EDI
0041F66D .  83CD FF    OR EBP,FFFFFFFF
0041F670 .  EB 10       JMP SHORT _UnPacke.0041F682
0041F672    90          NOP
0041F673    90          NOP
0041F674    90          NOP
0041F675    90          NOP
0041F676    90          NOP
0041F677    90          NOP
0041F678 >  8A06       MOV AL,BYTE PTR DS:[ESI]
0041F67A .  46          INC ESI
0041F67B .  8807       MOV BYTE PTR DS:[EDI],AL
0041F67D .  47          INC EDI
0041F67E >  01DB       ADD EBX,EBX
0041F680 .  75 07       JNZ SHORT _UnPacke.0041F689
0041F682 >  8B1E       MOV EBX,DWORD PTR DS:[ESI]
0041F684 .  83EE FC    SUB ESI,-4
0041F687 .  11DB       ADC EBX,EBX
0041F689 >^ 72 ED       JB SHORT _UnPacke.0041F678
0041F68B .  B8 01000000 MOV EAX,1
0041F690 >  01DB       ADD EBX,EBX
0041F692 .  75 07       JNZ SHORT _UnPacke.0041F69B
0041F694 .  8B1E       MOV EBX,DWORD PTR DS:[ESI]
0041F696 .  83EE FC    SUB ESI,-4
0041F699 .  11DB       ADC EBX,EBX
0041F69B >  11C0       ADC EAX,EAX

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (19)
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 2 楼手工脱完UPX 修复程序不能运行用ResHacker(导dll工具）能查看到窗口文件应该没有壳但用OD载入还是提示有压缩或加密 2006-2-4 01:25 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 Dump后用ImportREC修复输入表调试脱壳后文件看看为何无法运行 2006-2-4 01:33 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 4 楼程序现在能运行但是内部资源还是被加密只是软件窗体能被解压出来了再ResHacker这个里能看到但RC数据都没有这项但应有的还是被压缩了如何搞 2006-2-4 01:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 DT_FixRes http://dREAMtHEATER.reg365.com 2006-2-4 01:41 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 6 楼提示说没有需要修复的资源 2006-2-4 01:52 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 7 楼 upx 脱了后为 004029C0 > 33C0 XOR EAX,EAX 004029C2 A3 80A94100 MOV DWORD PTR DS:[41A980],EAX 004029C7 BF 68894000 MOV EDI,1_.00408968 004029CC B9 04400000 MOV ECX,4004 004029D1 F3:AB REP STOS DWORD PTR ES:[EDI] 004029D3 A3 78894100 MOV DWORD PTR DS:[418978],EAX 004029D8 6A 00 PUSH 0 004029DA E8 1B010000 CALL <JMP.&kernel32.#374> 004029DF A3 58694000 MOV DWORD PTR DS:[406958],EAX 004029E4 C705 A2AD4100 F>MOV DWORD PTR DS:[41ADA2],0FF 004029EE C705 9EAD4100 0>MOV DWORD PTR DS:[41AD9E],8 004029F8 68 9EAD4100 PUSH 1_.0041AD9E 004029FD E8 82010000 CALL <JMP.&comctl32.#87> 00402A02 C705 A6AD4100 9>MOV DWORD PTR DS:[41ADA6],94 00402A0C 68 A6AD4100 PUSH 1_.0041ADA6 00402A11 E8 EA000000 CALL <JMP.&kernel32.#476> 00402A16 6A 00 PUSH 0 00402A18 68 02254000 PUSH 1_.00402502 00402A1D 6A 00 PUSH 0 00402A1F 6A 01 PUSH 1 00402A21 FF35 58694000 PUSH DWORD PTR DS:[406958] 00402A27 E8 20000000 CALL <JMP.&user32.#159> 00402A2C 6A 00 PUSH 0 00402A2E E8 A3000000 CALL <JMP.&kernel32.#183> 00402A33 CC INT3 00402A34 - FF25 C4504000 JMP DWORD PTR DS:[<&user32.#729>] ; USER32.wsprintfA 00402A3A - FF25 F4504000 JMP DWORD PTR DS:[<&user32.#90>] ; USER32.CreateIconFromResourceEx 00402A40 - FF25 F0504000 JMP DWORD PTR DS:[<&user32.#97>] ; USER32.CreateWindowExA 00402A46 - FF25 EC504000 JMP DWORD PTR DS:[<&user32.#150>] ; USER32.DestroyIcon 00402A4C - FF25 E8504000 JMP DWORD PTR DS:[<&user32.#159>] ; USER32.DialogBoxParamA 00402A52 - FF25 E4504000 JMP DWORD PTR DS:[<&user32.#195>] ; USER32.EnableMenuItem 00402A58 - FF25 CC504000 JMP DWORD PTR DS:[<&user32.#197>] ; USER32.EnableWindow 00402A5E - FF25 E0504000 JMP DWORD PTR DS:[<&user32.#199>] ; USER32.EndDialog 00402A64 - FF25 C8504000 JMP DWORD PTR DS:[<&user32.#256>] ; USER32.GetClientRect 00402A6A - FF25 DC504000 JMP DWORD PTR DS:[<&user32.#268>] ; USER32.GetCursorPos 00402A70 - FF25 D8504000 JMP DWORD PTR DS:[<&user32.#274>] ; USER32.GetDlgItem 00402A76 - FF25 C0504000 JMP DWORD PTR DS:[<&user32.#346>] ; USER32.GetSubMenu 00402A7C - FF25 BC504000 JMP DWORD PTR DS:[<&user32.#367>] ; USER32.GetWindowLongA 00402A82 - FF25 B8504000 JMP DWORD PTR DS:[<&user32.#376>] ; USER32.GetWindowTextA 00402A88 - FF25 B4504000 JMP DWORD PTR DS:[<&user32.#444>] ; USER32.LoadIconA 00402A8E - FF25 B0504000 JMP DWORD PTR DS:[<&user32.#446>] ; USER32.LoadImageA 00402A94 - FF25 D4504000 JMP DWORD PTR DS:[<&user32.#452>] ; USER32.LoadMenuA 00402A9A - FF25 D0504000 JMP DWORD PTR DS:[<&user32.#464>] ; USER32.LookupIconIdFromDirectoryEx 00402AA0 - FF25 A4504000 JMP DWORD PTR DS:[<&user32.#477>] ; USER32.MessageBoxA 00402AA6 - FF25 A0504000 JMP DWORD PTR DS:[<&user32.#572>] ; USER32.SendMessageA 00402AAC - FF25 9C504000 JMP DWORD PTR DS:[<&user32.#641>] ; USER32.SetWindowLongA 00402AB2 - FF25 98504000 JMP DWORD PTR DS:[<&user32.#644>] ; USER32.SetWindowPos 00402AB8 - FF25 A8504000 JMP DWORD PTR DS:[<&user32.#647>] ; USER32.SetWindowTextA 00402ABE - FF25 AC504000 JMP DWORD PTR DS:[<&user32.#677>] ; USER32.TrackPopupMenu 00402AC4 - FF25 60504000 JMP DWORD PTR DS:[<&kernel32.#50>] ; kernel32.CloseHandle 00402ACA - FF25 64504000 JMP DWORD PTR DS:[<&kernel32.#80>] ; kernel32.CreateFileA 00402AD0 - FF25 68504000 JMP DWORD PTR DS:[<&kernel32.#164>] ; kernel32.EnumResourceNamesA 00402AD6 - FF25 6C504000 JMP DWORD PTR DS:[<&kernel32.#183>] ; kernel32.ExitProcess 00402ADC - FF25 70504000 JMP DWORD PTR DS:[<&kernel32.#224>] ; kernel32.FindResourceA 00402AE2 - FF25 14504000 JMP DWORD PTR DS:[<&kernel32.#241>] ; kernel32.FreeLibrary 00402AE8 - FF25 20504000 JMP DWORD PTR DS:[<&kernel32.#343>] ; kernel32.GetFileAttributesA 00402AEE - FF25 24504000 JMP DWORD PTR DS:[<&kernel32.#348>] ; kernel32.GetFileSize 00402AF4 - FF25 18504000 JMP DWORD PTR DS:[<&kernel32.#372>] ; kernel32.GetModuleFileNameA 00402AFA - FF25 1C504000 JMP DWORD PTR DS:[<&kernel32.#374>] ; kernel32.GetModuleHandleA 00402B00 - FF25 50504000 JMP DWORD PTR DS:[<&kernel32.#476>] ; kernel32.GetVersionExA 00402B06 - FF25 5C504000 JMP DWORD PTR DS:[<&kernel32.#491>] ; kernel32.GlobalAlloc 00402B0C - FF25 58504000 JMP DWORD PTR DS:[<&kernel32.#498>] ; kernel32.GlobalFree 00402B12 - FF25 54504000 JMP DWORD PTR DS:[<&kernel32.#579>] ; kernel32.LoadLibraryExA 00402B18 - FF25 28504000 JMP DWORD PTR DS:[<&kernel32.#583>] ; kernel32.LoadResource 00402B1E - FF25 4C504000 JMP DWORD PTR DS:[<&kernel32.#597>] ; kernel32.SetHandleCount 00402B24 - FF25 48504000 JMP DWORD PTR DS:[<&kernel32.#676>] ; kernel32.ReadFile 00402B2A - FF25 44504000 JMP DWORD PTR DS:[<&kernel32.#775>] ; kernel32.SetFilePointer 00402B30 - FF25 40504000 JMP DWORD PTR DS:[<&kernel32.#830>] ; kernel32.SizeofResource 00402B36 - FF25 3C504000 JMP DWORD PTR DS:[<&kernel32.#908>] ; kernel32.WriteFile 00402B3C - FF25 38504000 JMP DWORD PTR DS:[<&kernel32.#932>] ; kernel32.lstrcatA 00402B42 - FF25 34504000 JMP DWORD PTR DS:[<&kernel32.#938>] ; kernel32.lstrcmpiA 00402B48 - FF25 30504000 JMP DWORD PTR DS:[<&kernel32.#941>] ; kernel32.lstrcpyA 00402B4E - FF25 2C504000 JMP DWORD PTR DS:[<&kernel32.#947>] ; kernel32.lstrlenA 00402B54 - FF25 90504000 JMP DWORD PTR DS:[<&shlwapi.#802>] ; SHLWAPI.StrRChrA 00402B5A - FF25 8C504000 JMP DWORD PTR DS:[<&shlwapi.#816>] ; SHLWAPI.StrStrIA 00402B60 - FF25 84504000 JMP DWORD PTR DS:[<&shell32.#138>] ; SHELL32.DragAcceptFiles 00402B66 - FF25 80504000 JMP DWORD PTR DS:[<&shell32.#139>] ; SHELL32.DragFinish 00402B6C - FF25 78504000 JMP DWORD PTR DS:[<&shell32.#140>] ; SHELL32.DragQueryFileA 00402B72 - FF25 7C504000 JMP DWORD PTR DS:[<&shell32.#299>] ; SHELL32.SHGetFileInfoA 00402B78 - FF25 0C504000 JMP DWORD PTR DS:[<&comdlg32.#110>] ; comdlg32.GetOpenFileNameA 00402B7E - FF25 08504000 JMP DWORD PTR DS:[<&comdlg32.#112>] ; comdlg32.GetSaveFileNameA 00402B84 - FF25 00504000 JMP DWORD PTR DS:[<&comctl32.#87>] ; comctl32.InitCommonControlsEx 00402B8A CC INT3 00402B8B CC INT3 00402B8C 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4] 00402B90 83F8 02 CMP EAX,2 00402B93 7D 06 JGE SHORT 1_.00402B9B 00402B95 B8 64000000 MOV EAX,64 00402B9A C3 RETN 00402B9B 83F8 04 CMP EAX,4 修复后用OD进入还是会提示压缩 2006-2-4 01:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼 OllyDBG的那个提示不必管或者用LordPE修正脱壳文件的BaseOfCode值为第一个区段的VOffset 换个资源工具试试，如ResScope 2006-2-4 02:11 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 9 楼 PE Explorer 也是这样我是再给WEIbind.exe 这个脱壳 2006-2-4 02:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 freeRes处理下看看 http://www.pediy.com/tools/Resource.htm 用ResScope 2006-2-4 02:49 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 11 楼不行啊还是能能看到RC资源或者其他的重要数据啊它是个鸿威文件合并器只爱雪珍版 fly帮我看看这样的壳怎么脱我有几个其他的程序脱是也是这样搞不定啊 2006-2-4 14:53 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼资源问题去汉化新世纪论坛请教那里可能这方面关注的人较多 2006-2-4 15:03 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 13 楼我觉得还是脱时没有完全一些加密的还是没脱出来 2006-2-4 15:05 0
Dracula 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Dracula 14 楼学习学习！～！ 2006-2-5 03:28 0
xingbing 雪币： 175 活跃值： (2331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 15 楼 ASPack 2.12 -> Alexey Solodovnikov 与UPX的变态壳不少。 2006-2-5 10:34 0
qiusisi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	qiusisi 16 楼我脱了，也能运行，我找到的oep是这004029C0 脱了不用修复，直接能运行的！ 2006-2-6 11:26 0
h_f22 雪币： 225 活跃值： (142) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	h_f22 2 17 楼这种问题我以前也遇见过,主要是出现在Aspack的壳上，Aspack的壳对资源进行压缩以后很多脱壳工具都不能将资源解开，但是好像AsprStripperXP可以。楼主可以试试。 2006-2-6 14:14 0
flyness 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	flyness 18 楼我也遇到过同样的问题，未解决 2006-2-6 15:53 0
doboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	doboy 19 楼这个壳好像有专门的脱壳机可以用 2006-2-6 15:54 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 20 楼最初由 qiusisi 发布我脱了，也能运行，我找到的oep是这004029C0 脱了不用修复，直接能运行的！说说你是怎么脱的？？？ 2006-2-6 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

opxlz

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 2 楼手工脱完UPX 修复程序不能运行用ResHacker(导dll工具）能查看到窗口文件应该没有壳但用OD载入还是提示有压缩或加密 2006-2-4 01:25 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 Dump后用ImportREC修复输入表调试脱壳后文件看看为何无法运行 2006-2-4 01:33 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 4 楼程序现在能运行但是内部资源还是被加密只是软件窗体能被解压出来了再ResHacker这个里能看到但RC数据都没有这项但应有的还是被压缩了如何搞 2006-2-4 01:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 DT_FixRes http://dREAMtHEATER.reg365.com 2006-2-4 01:41 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 6 楼提示说没有需要修复的资源 2006-2-4 01:52 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 7 楼 upx 脱了后为 004029C0 > 33C0 XOR EAX,EAX 004029C2 A3 80A94100 MOV DWORD PTR DS:[41A980],EAX 004029C7 BF 68894000 MOV EDI,1_.00408968 004029CC B9 04400000 MOV ECX,4004 004029D1 F3:AB REP STOS DWORD PTR ES:[EDI] 004029D3 A3 78894100 MOV DWORD PTR DS:[418978],EAX 004029D8 6A 00 PUSH 0 004029DA E8 1B010000 CALL <JMP.&kernel32.#374> 004029DF A3 58694000 MOV DWORD PTR DS:[406958],EAX 004029E4 C705 A2AD4100 F>MOV DWORD PTR DS:[41ADA2],0FF 004029EE C705 9EAD4100 0>MOV DWORD PTR DS:[41AD9E],8 004029F8 68 9EAD4100 PUSH 1_.0041AD9E 004029FD E8 82010000 CALL <JMP.&comctl32.#87> 00402A02 C705 A6AD4100 9>MOV DWORD PTR DS:[41ADA6],94 00402A0C 68 A6AD4100 PUSH 1_.0041ADA6 00402A11 E8 EA000000 CALL <JMP.&kernel32.#476> 00402A16 6A 00 PUSH 0 00402A18 68 02254000 PUSH 1_.00402502 00402A1D 6A 00 PUSH 0 00402A1F 6A 01 PUSH 1 00402A21 FF35 58694000 PUSH DWORD PTR DS:[406958] 00402A27 E8 20000000 CALL <JMP.&user32.#159> 00402A2C 6A 00 PUSH 0 00402A2E E8 A3000000 CALL <JMP.&kernel32.#183> 00402A33 CC INT3 00402A34 - FF25 C4504000 JMP DWORD PTR DS:[<&user32.#729>] ; USER32.wsprintfA 00402A3A - FF25 F4504000 JMP DWORD PTR DS:[<&user32.#90>] ; USER32.CreateIconFromResourceEx 00402A40 - FF25 F0504000 JMP DWORD PTR DS:[<&user32.#97>] ; USER32.CreateWindowExA 00402A46 - FF25 EC504000 JMP DWORD PTR DS:[<&user32.#150>] ; USER32.DestroyIcon 00402A4C - FF25 E8504000 JMP DWORD PTR DS:[<&user32.#159>] ; USER32.DialogBoxParamA 00402A52 - FF25 E4504000 JMP DWORD PTR DS:[<&user32.#195>] ; USER32.EnableMenuItem 00402A58 - FF25 CC504000 JMP DWORD PTR DS:[<&user32.#197>] ; USER32.EnableWindow 00402A5E - FF25 E0504000 JMP DWORD PTR DS:[<&user32.#199>] ; USER32.EndDialog 00402A64 - FF25 C8504000 JMP DWORD PTR DS:[<&user32.#256>] ; USER32.GetClientRect 00402A6A - FF25 DC504000 JMP DWORD PTR DS:[<&user32.#268>] ; USER32.GetCursorPos 00402A70 - FF25 D8504000 JMP DWORD PTR DS:[<&user32.#274>] ; USER32.GetDlgItem 00402A76 - FF25 C0504000 JMP DWORD PTR DS:[<&user32.#346>] ; USER32.GetSubMenu 00402A7C - FF25 BC504000 JMP DWORD PTR DS:[<&user32.#367>] ; USER32.GetWindowLongA 00402A82 - FF25 B8504000 JMP DWORD PTR DS:[<&user32.#376>] ; USER32.GetWindowTextA 00402A88 - FF25 B4504000 JMP DWORD PTR DS:[<&user32.#444>] ; USER32.LoadIconA 00402A8E - FF25 B0504000 JMP DWORD PTR DS:[<&user32.#446>] ; USER32.LoadImageA 00402A94 - FF25 D4504000 JMP DWORD PTR DS:[<&user32.#452>] ; USER32.LoadMenuA 00402A9A - FF25 D0504000 JMP DWORD PTR DS:[<&user32.#464>] ; USER32.LookupIconIdFromDirectoryEx 00402AA0 - FF25 A4504000 JMP DWORD PTR DS:[<&user32.#477>] ; USER32.MessageBoxA 00402AA6 - FF25 A0504000 JMP DWORD PTR DS:[<&user32.#572>] ; USER32.SendMessageA 00402AAC - FF25 9C504000 JMP DWORD PTR DS:[<&user32.#641>] ; USER32.SetWindowLongA 00402AB2 - FF25 98504000 JMP DWORD PTR DS:[<&user32.#644>] ; USER32.SetWindowPos 00402AB8 - FF25 A8504000 JMP DWORD PTR DS:[<&user32.#647>] ; USER32.SetWindowTextA 00402ABE - FF25 AC504000 JMP DWORD PTR DS:[<&user32.#677>] ; USER32.TrackPopupMenu 00402AC4 - FF25 60504000 JMP DWORD PTR DS:[<&kernel32.#50>] ; kernel32.CloseHandle 00402ACA - FF25 64504000 JMP DWORD PTR DS:[<&kernel32.#80>] ; kernel32.CreateFileA 00402AD0 - FF25 68504000 JMP DWORD PTR DS:[<&kernel32.#164>] ; kernel32.EnumResourceNamesA 00402AD6 - FF25 6C504000 JMP DWORD PTR DS:[<&kernel32.#183>] ; kernel32.ExitProcess 00402ADC - FF25 70504000 JMP DWORD PTR DS:[<&kernel32.#224>] ; kernel32.FindResourceA 00402AE2 - FF25 14504000 JMP DWORD PTR DS:[<&kernel32.#241>] ; kernel32.FreeLibrary 00402AE8 - FF25 20504000 JMP DWORD PTR DS:[<&kernel32.#343>] ; kernel32.GetFileAttributesA 00402AEE - FF25 24504000 JMP DWORD PTR DS:[<&kernel32.#348>] ; kernel32.GetFileSize 00402AF4 - FF25 18504000 JMP DWORD PTR DS:[<&kernel32.#372>] ; kernel32.GetModuleFileNameA 00402AFA - FF25 1C504000 JMP DWORD PTR DS:[<&kernel32.#374>] ; kernel32.GetModuleHandleA 00402B00 - FF25 50504000 JMP DWORD PTR DS:[<&kernel32.#476>] ; kernel32.GetVersionExA 00402B06 - FF25 5C504000 JMP DWORD PTR DS:[<&kernel32.#491>] ; kernel32.GlobalAlloc 00402B0C - FF25 58504000 JMP DWORD PTR DS:[<&kernel32.#498>] ; kernel32.GlobalFree 00402B12 - FF25 54504000 JMP DWORD PTR DS:[<&kernel32.#579>] ; kernel32.LoadLibraryExA 00402B18 - FF25 28504000 JMP DWORD PTR DS:[<&kernel32.#583>] ; kernel32.LoadResource 00402B1E - FF25 4C504000 JMP DWORD PTR DS:[<&kernel32.#597>] ; kernel32.SetHandleCount 00402B24 - FF25 48504000 JMP DWORD PTR DS:[<&kernel32.#676>] ; kernel32.ReadFile 00402B2A - FF25 44504000 JMP DWORD PTR DS:[<&kernel32.#775>] ; kernel32.SetFilePointer 00402B30 - FF25 40504000 JMP DWORD PTR DS:[<&kernel32.#830>] ; kernel32.SizeofResource 00402B36 - FF25 3C504000 JMP DWORD PTR DS:[<&kernel32.#908>] ; kernel32.WriteFile 00402B3C - FF25 38504000 JMP DWORD PTR DS:[<&kernel32.#932>] ; kernel32.lstrcatA 00402B42 - FF25 34504000 JMP DWORD PTR DS:[<&kernel32.#938>] ; kernel32.lstrcmpiA 00402B48 - FF25 30504000 JMP DWORD PTR DS:[<&kernel32.#941>] ; kernel32.lstrcpyA 00402B4E - FF25 2C504000 JMP DWORD PTR DS:[<&kernel32.#947>] ; kernel32.lstrlenA 00402B54 - FF25 90504000 JMP DWORD PTR DS:[<&shlwapi.#802>] ; SHLWAPI.StrRChrA 00402B5A - FF25 8C504000 JMP DWORD PTR DS:[<&shlwapi.#816>] ; SHLWAPI.StrStrIA 00402B60 - FF25 84504000 JMP DWORD PTR DS:[<&shell32.#138>] ; SHELL32.DragAcceptFiles 00402B66 - FF25 80504000 JMP DWORD PTR DS:[<&shell32.#139>] ; SHELL32.DragFinish 00402B6C - FF25 78504000 JMP DWORD PTR DS:[<&shell32.#140>] ; SHELL32.DragQueryFileA 00402B72 - FF25 7C504000 JMP DWORD PTR DS:[<&shell32.#299>] ; SHELL32.SHGetFileInfoA 00402B78 - FF25 0C504000 JMP DWORD PTR DS:[<&comdlg32.#110>] ; comdlg32.GetOpenFileNameA 00402B7E - FF25 08504000 JMP DWORD PTR DS:[<&comdlg32.#112>] ; comdlg32.GetSaveFileNameA 00402B84 - FF25 00504000 JMP DWORD PTR DS:[<&comctl32.#87>] ; comctl32.InitCommonControlsEx 00402B8A CC INT3 00402B8B CC INT3 00402B8C 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4] 00402B90 83F8 02 CMP EAX,2 00402B93 7D 06 JGE SHORT 1_.00402B9B 00402B95 B8 64000000 MOV EAX,64 00402B9A C3 RETN 00402B9B 83F8 04 CMP EAX,4 修复后用OD进入还是会提示压缩 2006-2-4 01:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼 OllyDBG的那个提示不必管或者用LordPE修正脱壳文件的BaseOfCode值为第一个区段的VOffset 换个资源工具试试，如ResScope 2006-2-4 02:11 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 9 楼 PE Explorer 也是这样我是再给WEIbind.exe 这个脱壳 2006-2-4 02:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 freeRes处理下看看 http://www.pediy.com/tools/Resource.htm 用ResScope 2006-2-4 02:49 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 11 楼不行啊还是能能看到RC资源或者其他的重要数据啊它是个鸿威文件合并器只爱雪珍版 fly帮我看看这样的壳怎么脱我有几个其他的程序脱是也是这样搞不定啊 2006-2-4 14:53 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼资源问题去汉化新世纪论坛请教那里可能这方面关注的人较多 2006-2-4 15:03 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 13 楼我觉得还是脱时没有完全一些加密的还是没脱出来 2006-2-4 15:05 0
Dracula 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Dracula 14 楼学习学习！～！ 2006-2-5 03:28 0
xingbing 雪币： 175 活跃值： (2331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 15 楼 ASPack 2.12 -> Alexey Solodovnikov 与UPX的变态壳不少。 2006-2-5 10:34 0
qiusisi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	qiusisi 16 楼我脱了，也能运行，我找到的oep是这004029C0 脱了不用修复，直接能运行的！ 2006-2-6 11:26 0
h_f22 雪币： 225 活跃值： (142) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	h_f22 2 17 楼这种问题我以前也遇见过,主要是出现在Aspack的壳上，Aspack的壳对资源进行压缩以后很多脱壳工具都不能将资源解开，但是好像AsprStripperXP可以。楼主可以试试。 2006-2-6 14:14 0
flyness 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	flyness 18 楼我也遇到过同样的问题，未解决 2006-2-6 15:53 0
doboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	doboy 19 楼这个壳好像有专门的脱壳机可以用 2006-2-6 15:54 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 20 楼最初由 qiusisi 发布我脱了，也能运行，我找到的oep是这004029C0 脱了不用修复，直接能运行的！说说你是怎么脱的？？？ 2006-2-6 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复