[求助]upx变种壳，谁懂帮忙看一下-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]upx变种壳，谁懂帮忙看一下

发表于: 2019-8-3 07:13 3356

未解决 [求助]upx变种壳，谁懂帮忙看一下

limee

2019-8-3 07:13

3356

upx -d 解不了，尝试手工脱壳，Ollydbg载入
程序在这里，或者告诉我什么工具可以脱掉此壳。
想逆向分析一下代码。

00498EB0 Hjsplit.> 60              pushad
00498EB1            BE 00A04600     mov     esi, 0046A000
00498EB6            8DBE 0070F9FF   lea     edi, dword ptr [esi+FFF97000]
00498EBC            57              push    edi
00498EBD            83CD FF         or      ebp, FFFFFFFF
00498EC0            EB 10           jmp     short 00498ED2       ===>   F4断点在这，F9运行没有问题
                                                                        如果F8步过会来到00498ED2

00498EC2            90              nop
00498EC3            90              nop
00498EC4            90              nop
00498EC5            90              nop
00498EC6            90              nop
00498EC7            90              nop
00498EC8            8A06            mov     al, byte ptr [esi]
00498ECA            46              inc     esi
00498ECB            8807            mov     byte ptr [edi], al
00498ECD            47              inc     edi
00498ECE            01DB            add     ebx, ebx
00498ED0            75 07           jnz     short 00498ED9
00498ED2            8B1E            mov     ebx, dword ptr [esi] ===> 这里F9运行也没问题
00498ED4            83EE FC         sub     esi, -4
00498ED7            11DB            adc     ebx, ebx
00498ED9          ^ 72 ED           jb      short 00498EC8
00498EDB            B8 01000000     mov     eax, 1
00498EE0            01DB            add     ebx, ebx
00498EE2            75 07           jnz     short 00498EEB
00498EE4            8B1E            mov     ebx, dword ptr [esi]
00498EE6            83EE FC         sub     esi, -4
00498EE9            11DB            adc     ebx, ebx
00498EEB            11C0            adc     eax, eax
00498EEB            11C0            adc     eax, eax
00498EED            01DB            add     ebx, ebx
00498EEF            73 0B           jnb     short 00498EFC
00498EF1            75 28           jnz     short 00498F1B
00498EF3            8B1E            mov     ebx, dword ptr [esi]
00498EF5            83EE FC         sub     esi, -4
00498EF8            11DB            adc     ebx, ebx
00498EFA            72 1F           jb      short 00498F1B
00498EFC            48              dec     eax
00498EFD            01DB            add     ebx, ebx
00498EFF            75 07           jnz     short 00498F08
00498F01            8B1E            mov     ebx, dword ptr [esi]
00498F03            83EE FC         sub     esi, -4
00498F06            11DB            adc     ebx, ebx
00498F08            11C0            adc     eax, eax
00498F0A          ^ EB D4           jmp     short 00498EE0
00498F0C            01DB            add     ebx, ebx
00498F0E            75 07           jnz     short 00498F17
00498F10            8B1E            mov     ebx, dword ptr [esi]
00498F12            83EE FC         sub     esi, -4
00498F15            11DB            adc     ebx, ebx
00498F17            11C9            adc     ecx, ecx
00498F19            EB 52           jmp     short 00498F6D
00498F1B            31C9            xor     ecx, ecx
00498F1D            83E8 03         sub     eax, 3
00498F20            72 11           jb      short 00498F33
00498F22            C1E0 08         shl     eax, 8
00498F25            8A06            mov     al, byte ptr [esi]
00498F27            46              inc     esi
00498F28            83F0 FF         xor     eax, FFFFFFFF
00498F2B            74 75           je      short 00498FA2
00498F2D            D1F8            sar     eax, 1
00498F2F            89C5            mov     ebp, eax
00498F31            EB 0B           jmp     short 00498F3E
00498F33            01DB            add     ebx, ebx
00498F35            75 07           jnz     short 00498F3E
00498F37            8B1E            mov     ebx, dword ptr [esi]
00498F39            83EE FC         sub     esi, -4
00498F3C            11DB            adc     ebx, ebx
00498F3E          ^ 72 CC           jb      short 00498F0C
00498F40            41              inc     ecx
00498F41            01DB            add     ebx, ebx
00498F43            75 07           jnz     short 00498F4C
00498F45            8B1E            mov     ebx, dword ptr [esi]
00498F47            83EE FC         sub     esi, -4
00498F4A            11DB            adc     ebx, ebx
00498F4C          ^ 72 BE           jb      short 00498F0C
00498F4E            01DB            add     ebx, ebx
00498F50            75 07           jnz     short 00498F59
00498F52            8B1E            mov     ebx, dword ptr [esi]
00498F54            83EE FC         sub     esi, -4
00498F57            11DB            adc     ebx, ebx
00498F59            11C9            adc     ecx, ecx
00498F5B            01DB            add     ebx, ebx
00498F5D          ^ 73 EF           jnb     short 00498F4E
00498F5F            75 09           jnz     short 00498F6A
00498F61            8B1E            mov     ebx, dword ptr [esi]
00498F63            83EE FC         sub     esi, -4
00498F66            11DB            adc     ebx, ebx
00498F68          ^ 73 E4           jnb     short 00498F4E
00498F6A            83C1 02         add     ecx, 2
00498F6D            81FD 00FBFFFF   cmp     ebp, -500
00498F73            83D1 02         adc     ecx, 2
00498F76            8D142F          lea     edx, dword ptr [edi+ebp]
00498F79            83FD FC         cmp     ebp, -4
00498F7C            76 0E           jbe     short 00498F8C
00498F7E            8A02            mov     al, byte ptr [edx]
00498F80            42              inc     edx
00498F81            8807            mov     byte ptr [edi], al
00498F83            47              inc     edi
00498F84            49              dec     ecx
00498F85          ^ 75 F7           jnz     short 00498F7E
00498F87          ^ E9 42FFFFFF     jmp     00498ECE
00498F8C            8B02            mov     eax, dword ptr [edx]
00498F8E            83C2 04         add     edx, 4
00498F91            8907            mov     dword ptr [edi], eax
00498F93            83C7 04         add     edi, 4
00498F96            83E9 04         sub     ecx, 4
00498F99          ^ 77 F1           ja      short 00498F8C
00498F9B            01CF            add     edi, ecx
00498F9D          ^ E9 2CFFFFFF     jmp     00498ECE                     ===> F4断点来到这里，然后F9就会跑飞，是啥原因啊？
00498FA2            5E              pop     esi
00498FA3            89F7            mov     edi, esi
00498FA5            B9 7B310000     mov     ecx, 317B
00498FAA            8A07            mov     al, byte ptr [edi]
00498FAC            47              inc     edi
00498FAD            2C E8           sub     al, 0E8
00498FAF            3C 01           cmp     al, 1
00498FB1          ^ 77 F7           ja      short 00498FAA
00498FB3            803F 14         cmp     byte ptr [edi], 14
00498FB6          ^ 75 F2           jnz     short 00498FAA
00498FB8            8B07            mov     eax, dword ptr [edi]
00498FBA            8A5F 04         mov     bl, byte ptr [edi+4]
00498FBD            66:C1E8 08      shr     ax, 8
00498FC1            C1C0 10         rol     eax, 10
00498FC4            86C4            xchg    ah, al
00498FC6            29F8            sub     eax, edi
00498FC8            80EB E8         sub     bl, 0E8
00498FCB            01F0            add     eax, esi
00498FCD            8907            mov     dword ptr [edi], eax
00498FCF            83C7 05         add     edi, 5
00498FD2            88D8            mov     al, bl
00498FD4          ^ E2 D9           loopd   short 00498FAF

[课程]FART 脱壳王！加量不加价！FART作者讲授！

最后于 2019-8-3 07:14 被limee编辑，原因：

上传的附件：

Hjsplit.exe （197.00kb，19次下载）

收藏・0

免费・0

支持

最新回复 (5)
MCYMYC 雪币： 288 活跃值： (69) 能力值： ( LV3，RANK：20 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCYMYC 2 楼 0049905B - E9 38C7FCFF jmp Hjsplit.00465798 oep 2019-8-3 09:40 1
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 3 楼多谢帮忙，都快不会脱基本壳了。 2019-8-3 10:28 0
老伙计雪币： 817 活跃值： (2063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 4 楼 upx -d Hjsplit.exe 即可正常脱壳。 upx 版本 3.95 最后于 2019-8-3 15:39 被老伙计编辑，原因：上传的附件： Hjsplit.exe （572.50kb，5次下载） 2019-8-3 15:39 1
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 5 楼我用论坛upx的没脱掉啊，我已经手工脱掉了。谢谢你的热心，给你点了赞。最后于 2019-8-3 17:32 被limee编辑，原因： 2019-8-3 17:31 0
RuShi 雪币： 9873 活跃值： (3021) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	RuShi 6 楼你用的upx版本过于低了 2019-8-4 10:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

limee

456

发帖

976

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
MCYMYC 雪币： 288 活跃值： (69) 能力值： ( LV3，RANK：20 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCYMYC 2 楼 0049905B - E9 38C7FCFF jmp Hjsplit.00465798 oep 2019-8-3 09:40 1
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 3 楼多谢帮忙，都快不会脱基本壳了。 2019-8-3 10:28 0
老伙计雪币： 817 活跃值： (2063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 4 楼 upx -d Hjsplit.exe 即可正常脱壳。 upx 版本 3.95 最后于 2019-8-3 15:39 被老伙计编辑，原因：上传的附件： Hjsplit.exe （572.50kb，5次下载） 2019-8-3 15:39 1
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 5 楼我用论坛upx的没脱掉啊，我已经手工脱掉了。谢谢你的热心，给你点了赞。最后于 2019-8-3 17:32 被limee编辑，原因： 2019-8-3 17:31 0
RuShi 雪币： 9873 活跃值： (3021) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	RuShi 6 楼你用的upx版本过于低了 2019-8-4 10:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复