UPolyX v0.5 有没有办法脱壳？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 UPolyX 链接看看 2006-6-28 11:17 0
yaohang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	yaohang 3 楼没明白，请详细解释下可以吗？ 2006-6-28 11:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼你先给个可以下载UPolyX v0.5的链接 2006-6-28 12:21 0
domino 雪币： 200 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 130 粉丝 0 关注私信	domino 5 楼官方咀站 http://delikon.de/pe.html [ UPolyX v0.5/21.11.04] Download the binary with sourcecode http://delikon.de/zips/UPolyX%20v0.5.rar 目前peid 都?法滓?!!就算有~ 都是?重锗? [UPolyX v0.5] signature = ?? 59 ?? ?? 00 00 00 ep_only = false 2006-6-28 13:56 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 6 楼怎么用啊 2006-6-28 14:10 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 7 楼最初由 wangshq397* 发布* 怎么用啊好像没啥意思。目标程序先用UPX压一下，再用这款工具处理 C:\My temp\pack\bin>UPolyX.exe TraceMe.exe UPolyX v0.5 written by Delikon/www.delikon.de ENTRYPOINT: 82b0 FILEENTRYPOINT: 26b0 [+] Checking for UPX [+] Yes this is packed with UPX! [+] Replace the section name UPX with jEtw [+] the second UPX section starts at 0x400 [+] the second UPX section is 0x2600 big [+] Found a 0x19c big space for the decryptor [+] using the xor/xor decryptor type 0 [+] Using for Register1 EBX [+] Using for Register2 ESI [+] using offset 1 [+] use 0x2d as manipulationByte [+] encrypt 150 bytes from address 0x4082b0 till address 0x408346 [+] Generated 0x33 byte decryptor [+] Generated 0x15a bytes of trash PRESS A KEY 脱壳： OD加载后，往下翻： …… 004085E9 .^\E2 FB loopd short 004085E6 004085EB . 59 pop ecx 004085EC . 49 dec ecx 004085ED .^ 75 DE jnz short 004085CD 004085EF . FFE6 jmp esi //F4 004085F1 00 db 00 004085F2 00 db 00 004085F3 00 db 00 中断后，来到下一层，就是UPX了。 2006-6-28 14:17 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼看来是个用来作二次加密的壳，还要先用upx压一下 2006-6-28 14:17 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼随便拿个文件加了壳，OD载入, 01065E88 - E9 5F0AFBFF jmp 010168EC//离开UPX跳到OEP的地方 01065E8D 0000 add [eax], al 01065E8F 0000 add [eax], al 01065E91 0000 add [eax], al 01065E93 0000 add [eax], al 01065E95 0000 add [eax], al 01065E97 0000 add [eax], al 01065E99 0000 add [eax], al 01065E9B 0000 add [eax], al 01065E9D 0000 add [eax], al 01065E9F 0000 add [eax], al 01065EA1 0000 add [eax], al 01065EA3 0000 add [eax], al 01065EA5 0000 add [eax], al 01065EA7 0000 add [eax], al 01065EA9 0000 add [eax], al 01065EAB 0000 add [eax], al 01065EAD 0000 add [eax], al 01065EAF 0000 add [eax], al 01065EB1 > 83EC 04 sub esp, 4 //UpolyX加壳后的入口 2006-6-28 14:23 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 10 楼原来是压缩upx的 2006-6-28 17:42 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 11 楼没看明白? 2006-6-29 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 UPolyX 链接看看 2006-6-28 11:17 0
yaohang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	yaohang 3 楼没明白，请详细解释下可以吗？ 2006-6-28 11:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼你先给个可以下载UPolyX v0.5的链接 2006-6-28 12:21 0
domino 雪币： 200 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 130 粉丝 0 关注私信	domino 5 楼官方咀站 http://delikon.de/pe.html [ UPolyX v0.5/21.11.04] Download the binary with sourcecode http://delikon.de/zips/UPolyX%20v0.5.rar 目前peid 都?法滓?!!就算有~ 都是?重锗? [UPolyX v0.5] signature = ?? 59 ?? ?? 00 00 00 ep_only = false 2006-6-28 13:56 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 6 楼怎么用啊 2006-6-28 14:10 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 7 楼最初由 wangshq397* 发布* 怎么用啊好像没啥意思。目标程序先用UPX压一下，再用这款工具处理 C:\My temp\pack\bin>UPolyX.exe TraceMe.exe UPolyX v0.5 written by Delikon/www.delikon.de ENTRYPOINT: 82b0 FILEENTRYPOINT: 26b0 [+] Checking for UPX [+] Yes this is packed with UPX! [+] Replace the section name UPX with jEtw [+] the second UPX section starts at 0x400 [+] the second UPX section is 0x2600 big [+] Found a 0x19c big space for the decryptor [+] using the xor/xor decryptor type 0 [+] Using for Register1 EBX [+] Using for Register2 ESI [+] using offset 1 [+] use 0x2d as manipulationByte [+] encrypt 150 bytes from address 0x4082b0 till address 0x408346 [+] Generated 0x33 byte decryptor [+] Generated 0x15a bytes of trash PRESS A KEY 脱壳： OD加载后，往下翻： …… 004085E9 .^\E2 FB loopd short 004085E6 004085EB . 59 pop ecx 004085EC . 49 dec ecx 004085ED .^ 75 DE jnz short 004085CD 004085EF . FFE6 jmp esi //F4 004085F1 00 db 00 004085F2 00 db 00 004085F3 00 db 00 中断后，来到下一层，就是UPX了。 2006-6-28 14:17 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼看来是个用来作二次加密的壳，还要先用upx压一下 2006-6-28 14:17 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼随便拿个文件加了壳，OD载入, 01065E88 - E9 5F0AFBFF jmp 010168EC//离开UPX跳到OEP的地方 01065E8D 0000 add [eax], al 01065E8F 0000 add [eax], al 01065E91 0000 add [eax], al 01065E93 0000 add [eax], al 01065E95 0000 add [eax], al 01065E97 0000 add [eax], al 01065E99 0000 add [eax], al 01065E9B 0000 add [eax], al 01065E9D 0000 add [eax], al 01065E9F 0000 add [eax], al 01065EA1 0000 add [eax], al 01065EA3 0000 add [eax], al 01065EA5 0000 add [eax], al 01065EA7 0000 add [eax], al 01065EA9 0000 add [eax], al 01065EAB 0000 add [eax], al 01065EAD 0000 add [eax], al 01065EAF 0000 add [eax], al 01065EB1 > 83EC 04 sub esp, 4 //UpolyX加壳后的入口 2006-6-28 14:23 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 10 楼原来是压缩upx的 2006-6-28 17:42 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 11 楼没看明白? 2006-6-29 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复