请教高手关于UPX壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

请教高手关于UPX壳

发表于: 2006-4-21 23:53 6198

请教高手关于UPX壳

black1hero 活跃值

2006-4-21 23:53

6198

我是菜鸟请教下高手些
PD差壳为UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

按照POPAD下断
0050E18C FF96 B8F81000 call [esi+10F8B8]
0050E192 09C0          or    eax, eax
0050E194 74 07          je    short 0050E19D
0050E196 8903          mov    [ebx], eax
0050E198 83C3 04       add    ebx, 4
0050E19B  ^ EB D8          jmp    short 0050E175
0050E19D FF96 BCF81000 call [esi+10F8BC]
0050E1A3 61          popad          断在这里
0050E1A4  - E9 572EEFFF    jmp    00401000  飞向OEP
0050E1A9 0000          add    [eax], al
0050E1AB 00C4          add    ah, al
0050E1AD E1 50          loopde  short 0050E1FF
0050E1AF 0078 E2       add    [eax-1E], bh
0050E1B2 50             push eax
0050E1B3 00D4          add    ah, dl

下面看401000这
00401000 /EB 10          jmp    short 00401012 这个不是OEP吧
00401002 |66:623A       bound di, [edx]
00401005 |43             inc    ebx
00401006 |2B2B          sub    ebp, [ebx]
00401008 |48             dec    eax
00401009 |4F             dec    edi
0040100A |4F             dec    edi
0040100B |4B             dec    ebx
0040100C |90             nop
0040100D  -|E9 EC064D00    jmp    008D16FE
00401012 \A1 DF064D00    mov    eax, [4D06DF]
00401017 C1E0 02       shl    eax, 2
0040101A A3 E3064D00    mov    [4D06E3], eax
0040101F 52             push edx
00401020 6A 00          push 0
00401022 E8 5FD90C00    call 004CE986                      ; jmp 到 kernel32.GetModuleHandleA
00401027 8BD0          mov    edx, eax
00401029 E8 52EB0B00    call 004BFB80
0040102E 5A             pop    edx
0040102F E8 B0EA0B00    call 004BFAE4
00401034 E8 87EB0B00    call 004BFBC0
00401039 6A 00          push 0
0040103B E8 9CFE0B00    call 004C0EDC
00401040 59             pop    ecx
00401041 68 88064D00    push 004D0688
00401046 6A 00          push 0
00401048 E8 39D90C00    call 004CE986                      ; jmp 到 kernel32.GetModuleHandleA

那个不是真正的OPE 脱壳后修复也不能运行
请教下怎么寻找真正的OEP

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (17)
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 2 楼软件下载地址 http://dl1.gm169.com/wg/jx2/jxjl0420.exe 2006-4-21 23:56 0
4nil 雪币： 313 活跃值： (440) 能力值： ( LV12，RANK：530 ) 在线值：发帖 45 回帖 631 粉丝 2 关注私信	4nil 13 3 楼这个就是OEP吧 2006-4-22 00:08 0
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 4 楼脱了修复后不能运行 2006-4-22 00:13 0
WildCatIII 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	WildCatIII 5 楼 UPX壳应该不难吧。。。 2006-4-22 10:44 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 6 楼怎么感觉这个怪怪的嘛你可不可以传上来看一嘛你这么说我不太懂的啦　 2006-4-22 11:23 0
xieheng恒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xieheng恒 7 楼 ctrl+f输入popad--F2下段--F9运行--取消--F8执行几步--看到OEP 2006-4-22 11:23 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 8 楼你就在： 00401000 /EB 10 jmp short 00401012 Dump，用ImportREC修复输入表，其中输入表的大小自己手动来确定，运行程序看看。 2006-4-22 11:46 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼应该是BCB程序,开头都那个样子,就是怪怪的 2006-4-22 11:52 0
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 10 楼我在２楼留了下载地址的请问ＫＡＮＸＵＥ老大怎么手动获取输入表大小呢　 2006-4-22 11:59 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 11 楼这个程序各DLL的IAT部分不是连续排列的，你可以这样: IAT AtuoSearch后，Imprec会给出RVA：000E930C，Size：208. 你再将Size改成1000，再Get Imports，再将多出2个无效项目删除（有个"?"的） 2006-4-22 12:10 0
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 12 楼谢谢老大　行了 2006-4-22 13:22 0
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 13 楼这个壳还是比较简单的，手工用老大的办法就可以，如果用脱壳机就太快了！ 2006-4-22 21:07 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 14 楼这个是hying的壳把 2006-4-23 03:05 0
den 雪币： 209 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	den 15 楼这就是upx的 2006-4-23 20:23 0
闇影之徒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	闇影之徒 16 楼最初由 black1hero* 发布* 谢谢老大　行了呃位大大可以把你?完的秀出??我?考一下(我也有用到呃套呢)想看一下你?完跟我的差在那彦 2006-4-29 21:03 0
流水无心雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 37 粉丝 0 关注私信	流水无心 17 楼这个我也弄过，就是看了popad，呵呵 2006-4-29 22:23 0
闇影之徒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	闇影之徒 18 楼最初由 ?影之徒* 发布* 呃位大大可以把你?完的秀出??我?考一下(我也有用到呃套呢)想看一下你?完跟我的差在那彦 block老大??上??? 2006-5-1 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

black1hero

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 2 楼软件下载地址 http://dl1.gm169.com/wg/jx2/jxjl0420.exe 2006-4-21 23:56 0
4nil 雪币： 313 活跃值： (440) 能力值： ( LV12，RANK：530 ) 在线值：发帖 45 回帖 631 粉丝 2 关注私信	4nil 13 3 楼这个就是OEP吧 2006-4-22 00:08 0
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 4 楼脱了修复后不能运行 2006-4-22 00:13 0
WildCatIII 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	WildCatIII 5 楼 UPX壳应该不难吧。。。 2006-4-22 10:44 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 6 楼怎么感觉这个怪怪的嘛你可不可以传上来看一嘛你这么说我不太懂的啦　 2006-4-22 11:23 0
xieheng恒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xieheng恒 7 楼 ctrl+f输入popad--F2下段--F9运行--取消--F8执行几步--看到OEP 2006-4-22 11:23 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 8 楼你就在： 00401000 /EB 10 jmp short 00401012 Dump，用ImportREC修复输入表，其中输入表的大小自己手动来确定，运行程序看看。 2006-4-22 11:46 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼应该是BCB程序,开头都那个样子,就是怪怪的 2006-4-22 11:52 0
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 10 楼我在２楼留了下载地址的请问ＫＡＮＸＵＥ老大怎么手动获取输入表大小呢　 2006-4-22 11:59 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 11 楼这个程序各DLL的IAT部分不是连续排列的，你可以这样: IAT AtuoSearch后，Imprec会给出RVA：000E930C，Size：208. 你再将Size改成1000，再Get Imports，再将多出2个无效项目删除（有个"?"的） 2006-4-22 12:10 0
black1hero 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 20 粉丝 0 关注私信	black1hero 12 楼谢谢老大　行了 2006-4-22 13:22 0
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 13 楼这个壳还是比较简单的，手工用老大的办法就可以，如果用脱壳机就太快了！ 2006-4-22 21:07 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 14 楼这个是hying的壳把 2006-4-23 03:05 0
den 雪币： 209 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	den 15 楼这就是upx的 2006-4-23 20:23 0
闇影之徒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	闇影之徒 16 楼最初由 black1hero* 发布* 谢谢老大　行了呃位大大可以把你?完的秀出??我?考一下(我也有用到呃套呢)想看一下你?完跟我的差在那彦 2006-4-29 21:03 0
流水无心雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 37 粉丝 0 关注私信	流水无心 17 楼这个我也弄过，就是看了popad，呵呵 2006-4-29 22:23 0
闇影之徒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	闇影之徒 18 楼最初由 ?影之徒* 发布* 呃位大大可以把你?完的秀出??我?考一下(我也有用到呃套呢)想看一下你?完跟我的差在那彦 block老大??上??? 2006-5-1 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复