UPolyX 链接看看

没明白，请详细解释下可以吗？

你先给个可以下载UPolyX v0.5的链接

官方咀站
http://delikon.de/pe.html

[ UPolyX  v0.5/21.11.04]

Download the binary with sourcecode
http://delikon.de/zips/UPolyX%20v0.5.rar

目前peid 都?法滓?!!就算有~ 都是?重锗?

[UPolyX v0.5]
signature = ?? 59 ?? ?? 00 00 00
ep_only = false

怎么用啊

最初由 wangshq397 发布
怎么用啊

好像没啥意思。
目标程序先用UPX压一下，再用这款工具处理

C:\My temp\pack\bin>UPolyX.exe TraceMe.exe

*UPolyX v0.5*
written by Delikon/www.delikon.de
ENTRYPOINT: 82b0
FILEENTRYPOINT: 26b0
[+] Checking for UPX
[+] Yes this is packed with UPX!
[+] Replace the section name UPX with jEtw
[+] the second UPX section starts at 0x400
[+] the second UPX section is 0x2600 big
[+] Found a 0x19c big space for the decryptor
[+] using the xor/xor decryptor type 0
[+] Using for Register1 EBX
[+] Using for Register2 ESI
[+] using offset 1
[+] use 0x2d as manipulationByte
[+] encrypt 150 bytes from address 0x4082b0 till address 0x408346
[+] Generated 0x33 byte decryptor
[+] Generated 0x15a bytes of trash
PRESS A KEY

脱壳：
OD加载后，往下翻：
……
004085E9   .^\E2 FB         loopd   short 004085E6
004085EB   .  59            pop     ecx
004085EC   .  49            dec     ecx
004085ED   .^ 75 DE         jnz     short 004085CD
004085EF   .  FFE6          jmp     esi        //F4
004085F1      00            db      00
004085F2      00            db      00
004085F3      00            db      00

中断后，来到下一层，就是UPX了。

看来是个用来作二次加密的壳，还要先用upx压一下

随便拿个文件加了壳，OD载入,
01065E88  - E9 5F0AFBFF     jmp     010168EC//离开UPX跳到OEP的地方
01065E8D    0000            add     [eax], al
01065E8F    0000            add     [eax], al
01065E91    0000            add     [eax], al
01065E93    0000            add     [eax], al
01065E95    0000            add     [eax], al
01065E97    0000            add     [eax], al
01065E99    0000            add     [eax], al
01065E9B    0000            add     [eax], al
01065E9D    0000            add     [eax], al
01065E9F    0000            add     [eax], al
01065EA1    0000            add     [eax], al
01065EA3    0000            add     [eax], al
01065EA5    0000            add     [eax], al
01065EA7    0000            add     [eax], al
01065EA9    0000            add     [eax], al
01065EAB    0000            add     [eax], al
01065EAD    0000            add     [eax], al
01065EAF    0000            add     [eax], al
01065EB1 >  83EC 04         sub     esp, 4 //UpolyX加壳后的入口

原来是压缩upx的

没看明白?