UltraEdit-32 10.20版脱壳记-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

UltraEdit-32 10.20版脱壳记

发表于: 2004-4-29 00:06 24169

UltraEdit-32 10.20版脱壳记

fxyang

2004-4-29 00:06

24169

查看主题内容

收藏・17

免费・10

支持

最新回复 (52) ◀ 1 2 3 ▶
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 26 楼我从官方网站下的10.20版脱出来的OEP和fxyang大侠的就不同。另外fxyang大侠能不能具体说说如何判断跳转类型呀，这部分我还没弄明白，谢谢啦。 2004-5-2 16:49 0
lajiaolz 雪币： 224 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 32 粉丝 1 关注私信	lajiaolz 2 27 楼最初由 kitty 发布我从官方网站下的10.20版脱出来的OEP和fxyang大侠的就不同。另外fxyang大侠能不能具体说说如何判断跳转类型呀，这部分我还没弄明白，谢谢啦。你脱出来的能贴出来看看么 2004-5-2 17:06 0
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 28 楼我还没修复好呢。我只修复了几个CC，还是手动修复的，还不太明白如何写程序来判断跳转类型，希望fxyang大侠能指教一下。我是从官方网站下的，OEP和fxyang大侠脱的版本不一样 00512F75 > 55 PUSH EBP //OEP 00512F76 8BEC MOV EBP,ESP 00512F78 6A FF PUSH -1 00512F7A 68 30685700 PUSH Dump.00576830 00512F7F 68 00685100 PUSH Dump.00516800 00512F84 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00512F8A 50 PUSH EAX 00512F8B 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 00512F92 83EC 58 SUB ESP,58 00512F95 53 PUSH EBX 00512F96 56 PUSH ESI 00512F97 57 PUSH EDI 00512F98 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00512F9B FF15 94C45500 CALL DWORD PTR DS:[55C494] ; kernel32.GetVersion 00512FA1 33D2 XOR EDX,EDX 00512FA3 8AD4 MOV DL,AH 00512FA5 8915 309C5C00 MOV DWORD PTR DS:[5C9C30],EDX 2004-5-2 17:25 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 29 楼向辣椒兄和各位道歉，由于自己的原因打包时打错了，所以上传的是其实是10.10c中文版。给大家带来了不便，很惭愧。重新上传 2004-5-2 18:02 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 30 楼重新上传 2004-5-2 18:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 31 楼最初由 fxyang 发布向辣椒兄和各位道歉，由于自己的原因打包时打错了，所以上传的是其实是10.10c中文版。给大家带来了不便，很惭愧。重新上传我晕啦:o 2004-5-2 18:05 0
lajiaolz 雪币： 224 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 32 粉丝 1 关注私信	lajiaolz 2 32 楼还在昏，缺part3,4....:p 2004-5-2 18:09 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 33 楼重新上传 2004-5-2 18:31 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 34 楼晕倒，上传有限制。还有part4没有传上。 2004-5-2 18:34 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 35 楼 part4 2004-5-2 18:34 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 36 楼原因错误的原因，我把修复好的dump都删了。这份还是从E_mail中恢复的。 2004-5-2 18:37 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 37 楼尾巴上好多.nedIID和.mackt段，修复了几次输入表啊？辛苦了~ 2004-5-2 20:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 38 楼最初由 fxyang 发布原因错误的原因，我把修复好的dump都删了。这份还是从E_mail中恢复的。支持老兄只是传误了文件一时之误谁都难免 2004-5-2 23:29 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 39 楼我把脱壳后的文件休整了一下，把所有的newIID和.mackt段和数据切掉，再套用10。10c的输入表位置，用importREC采用不增加新段的方法，把输入表修复了一下，居然也能正常运行，真走运。10。10c只有4个段，脱壳的10。20有好多个段，我正在努力把所有没用的段都切掉，但这样做，资源就挂了，我试者剪切移动资源段，还是修不好，目前只有一个方案：把原来的所有资源存成res文件，然后把脱壳后的10.20除了前3个段全部切掉，用LordPE把资源的RVA和大小改成0，然后用资源黑客把所有资源再一个个添加进去。但是这样好累~~~~~~~~~资源黑客干吗不支持批量添加资源呢？？？？？？？？有可以批量添加资源的东西吗？？？？？？？？？？？？？？？？？？ 2004-5-3 13:36 0
zhouzhen 雪币： 126 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 23 粉丝 1 关注私信	zhouzhen 1 40 楼呵呵。学习啊。 2004-5-3 16:51 0
辉仔Yock 雪币： 228 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 109 粉丝 1 关注私信	辉仔Yock 41 楼请问 fxyang : 关于CC修复有好一些的方法吗? 我发现CC跳转表好像给打乱了...:( 2004-5-4 00:56 0
秀一雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	秀一 42 楼脱壳后，，，不要求注册了，但是，，，启动速度变好慢了，，， 2004-5-11 20:16 0
AloneWolf 雪币： 13089 活跃值： (4087) 能力值： ( LV15，RANK：1673 ) 在线值：发帖 36 回帖 354 粉丝 13 关注私信	AloneWolf 3 43 楼我晕...没道理呀...偶下载脱壳后的下来运行一切正常,只是有启动有点慢... 不过当我将它改名为Uedit32.exe时再运行就会出错... 2004-5-22 11:40 0
⒙嵗啲願望雪币： 214 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	⒙嵗啲願望 44 楼看不懂哦~~ 2004-5-22 13:34 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 45 楼总算找到相似的了 2004-6-21 00:35 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 46 楼请问如果采用远地址IAT调用。怎样修复iat ? IMPORT 起不了作用了，怎么办？ 2004-6-21 01:29 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 47 楼最初由草原猎豹发布目前只有一个方案：把原来的所有资源存成res文件，然后把脱壳后的10.20除了前3个段全部切掉，用LordPE把资源的RVA和大小改成0，然后用资源黑客把所有资源再一个个添加进去。但是这样好累~~~~~~~~~ 呵呵,试试用偶修壳的那个工具Rejacker,可以将资源段往后挪一段RVA,你在空出来的做导入表段就Okay了,不用猜测导入表位置 2004-6-21 02:24 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 48 楼 can someone explains how to repair nanomites??? or CC.. i'm not really understand wat the author trying to say... anyone have a tutorial on how to fix nanomites?? any language will do ..:) 2004-6-21 05:09 0
kbs 雪币： 426 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 75 粉丝 0 关注私信	kbs 49 楼学习中 2004-6-28 20:18 0
suwenfeng 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	suwenfeng 50 楼 studing 2004-7-2 08:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fxyang

发帖

267

回帖

810

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) ◀ 1 2 3 ▶
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 26 楼我从官方网站下的10.20版脱出来的OEP和fxyang大侠的就不同。另外fxyang大侠能不能具体说说如何判断跳转类型呀，这部分我还没弄明白，谢谢啦。 2004-5-2 16:49 0
lajiaolz 雪币： 224 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 32 粉丝 1 关注私信	lajiaolz 2 27 楼最初由 kitty 发布我从官方网站下的10.20版脱出来的OEP和fxyang大侠的就不同。另外fxyang大侠能不能具体说说如何判断跳转类型呀，这部分我还没弄明白，谢谢啦。你脱出来的能贴出来看看么 2004-5-2 17:06 0
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 28 楼我还没修复好呢。我只修复了几个CC，还是手动修复的，还不太明白如何写程序来判断跳转类型，希望fxyang大侠能指教一下。我是从官方网站下的，OEP和fxyang大侠脱的版本不一样 00512F75 > 55 PUSH EBP //OEP 00512F76 8BEC MOV EBP,ESP 00512F78 6A FF PUSH -1 00512F7A 68 30685700 PUSH Dump.00576830 00512F7F 68 00685100 PUSH Dump.00516800 00512F84 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00512F8A 50 PUSH EAX 00512F8B 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 00512F92 83EC 58 SUB ESP,58 00512F95 53 PUSH EBX 00512F96 56 PUSH ESI 00512F97 57 PUSH EDI 00512F98 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00512F9B FF15 94C45500 CALL DWORD PTR DS:[55C494] ; kernel32.GetVersion 00512FA1 33D2 XOR EDX,EDX 00512FA3 8AD4 MOV DL,AH 00512FA5 8915 309C5C00 MOV DWORD PTR DS:[5C9C30],EDX 2004-5-2 17:25 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 29 楼向辣椒兄和各位道歉，由于自己的原因打包时打错了，所以上传的是其实是10.10c中文版。给大家带来了不便，很惭愧。重新上传 2004-5-2 18:02 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 30 楼重新上传 2004-5-2 18:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 31 楼最初由 fxyang 发布向辣椒兄和各位道歉，由于自己的原因打包时打错了，所以上传的是其实是10.10c中文版。给大家带来了不便，很惭愧。重新上传我晕啦:o 2004-5-2 18:05 0
lajiaolz 雪币： 224 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 32 粉丝 1 关注私信	lajiaolz 2 32 楼还在昏，缺part3,4....:p 2004-5-2 18:09 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 33 楼重新上传 2004-5-2 18:31 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 34 楼晕倒，上传有限制。还有part4没有传上。 2004-5-2 18:34 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 35 楼 part4 2004-5-2 18:34 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 36 楼原因错误的原因，我把修复好的dump都删了。这份还是从E_mail中恢复的。 2004-5-2 18:37 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 37 楼尾巴上好多.nedIID和.mackt段，修复了几次输入表啊？辛苦了~ 2004-5-2 20:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 38 楼最初由 fxyang 发布原因错误的原因，我把修复好的dump都删了。这份还是从E_mail中恢复的。支持老兄只是传误了文件一时之误谁都难免 2004-5-2 23:29 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 39 楼我把脱壳后的文件休整了一下，把所有的newIID和.mackt段和数据切掉，再套用10。10c的输入表位置，用importREC采用不增加新段的方法，把输入表修复了一下，居然也能正常运行，真走运。10。10c只有4个段，脱壳的10。20有好多个段，我正在努力把所有没用的段都切掉，但这样做，资源就挂了，我试者剪切移动资源段，还是修不好，目前只有一个方案：把原来的所有资源存成res文件，然后把脱壳后的10.20除了前3个段全部切掉，用LordPE把资源的RVA和大小改成0，然后用资源黑客把所有资源再一个个添加进去。但是这样好累~~~~~~~~~资源黑客干吗不支持批量添加资源呢？？？？？？？？有可以批量添加资源的东西吗？？？？？？？？？？？？？？？？？？ 2004-5-3 13:36 0
zhouzhen 雪币： 126 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 23 粉丝 1 关注私信	zhouzhen 1 40 楼呵呵。学习啊。 2004-5-3 16:51 0
辉仔Yock 雪币： 228 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 109 粉丝 1 关注私信	辉仔Yock 41 楼请问 fxyang : 关于CC修复有好一些的方法吗? 我发现CC跳转表好像给打乱了...:( 2004-5-4 00:56 0
秀一雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	秀一 42 楼脱壳后，，，不要求注册了，但是，，，启动速度变好慢了，，， 2004-5-11 20:16 0
AloneWolf 雪币： 13089 活跃值： (4087) 能力值： ( LV15，RANK：1673 ) 在线值：发帖 36 回帖 354 粉丝 13 关注私信	AloneWolf 3 43 楼我晕...没道理呀...偶下载脱壳后的下来运行一切正常,只是有启动有点慢... 不过当我将它改名为Uedit32.exe时再运行就会出错... 2004-5-22 11:40 0
⒙嵗啲願望雪币： 214 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	⒙嵗啲願望 44 楼看不懂哦~~ 2004-5-22 13:34 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 45 楼总算找到相似的了 2004-6-21 00:35 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 46 楼请问如果采用远地址IAT调用。怎样修复iat ? IMPORT 起不了作用了，怎么办？ 2004-6-21 01:29 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 47 楼最初由草原猎豹发布目前只有一个方案：把原来的所有资源存成res文件，然后把脱壳后的10.20除了前3个段全部切掉，用LordPE把资源的RVA和大小改成0，然后用资源黑客把所有资源再一个个添加进去。但是这样好累~~~~~~~~~ 呵呵,试试用偶修壳的那个工具Rejacker,可以将资源段往后挪一段RVA,你在空出来的做导入表段就Okay了,不用猜测导入表位置 2004-6-21 02:24 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 48 楼 can someone explains how to repair nanomites??? or CC.. i'm not really understand wat the author trying to say... anyone have a tutorial on how to fix nanomites?? any language will do ..:) 2004-6-21 05:09 0
kbs 雪币： 426 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 75 粉丝 0 关注私信	kbs 49 楼学习中 2004-6-28 20:18 0
suwenfeng 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	suwenfeng 50 楼 studing 2004-7-2 08:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复