请教一个脱upx壳遇到的问题[讨论]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

请教一个脱upx壳遇到的问题[讨论]

发表于: 2006-9-15 15:21 5509

请教一个脱upx壳遇到的问题[讨论]

lgtiger

2006-9-15 15:21

5509

我在脱一个upx壳的时候遇到一点问题，
0041AB9D 61       popad
0041AB9E 8D4424 80    lea eax, [esp-80]
0041ABA2 6A 00    push 0
0041ABA4 39C4       cmp esp, eax
0041ABA6 ^ 75 FA    jnz short 0041ABA2
0041ABA8 83EC 80    sub esp, -80
0041ABAB - E9 605BFFFF jmp 00410710
我用一步到位找到popad，
按f8走到0041ABA6 ^ 75 FA    jnz short 0041ABA2
下一步就应该是在0041ABA8下一个断点运行到所选吧，但我在0041ABA8 下断，它就直接跳到0041ABA4这去了，这是什么问题？正常是应该下一步运行到0041ABAB在到程序的入口点吧，请知道的朋友指导一下，谢谢

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (18)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼这段是一个循环： 0041ABA2 6A 00 push 0 0041ABA4 39C4 cmp esp, eax 0041ABA6 ^ 75 FA jnz short 0041ABA2 你单步走，当然循环了。你只需要在041ABAB下断或F4，同时清除其他断点，按F9让程序跑起来，就会中断。 2006-9-15 15:33 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 3 楼谢谢你的回答,晚上回家去试下 2006-9-15 15:38 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 4 楼坛主,我试了,我在0041ABAB下断,按f2下断,按f9就直接跳到0041ABA4去了,这是什么问题,才学,请坛主在看看 2006-9-15 19:59 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 5 楼最初由 lgtiger* 发布* 坛主,我试了,我在0041ABAB下断,按f2下断,按f9就直接跳到0041ABA4去了,这是什么问题,才学,请坛主在看看 1.确认0041ABA4此处无断点，如有删除 2.查一下硬件断点有没有删除，如有删除 2006-9-15 20:08 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 6 楼 0041ABA4也无断点,坛主能不能占用你的点时间在qq上指导一下,谢谢 2006-9-15 21:53 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 7 楼最初由 lgtiger* 发布* 0041ABA4也无断点,坛主能不能占用你的点时间在qq上指导一下,谢谢这问题不复杂，你再细心些找找原因。如果想让别人帮你快些，你找个临时空间将文件传上去。 2006-9-15 22:25 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 8 楼谢谢坛主，就是才学习，有点菜了。文件放ftp://lpftp.3322.org/bbb.exe,请占用你点时间帮我脱下，谢谢此文件是木马，大家不要运行 2006-9-16 21:17 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 9 楼最初由 lgtiger* 发布* 谢谢坛主，就是才学习，有点菜了。文件放ftp://lpftp.3322.org/bbb.exe,请占用你点时间帮我脱下，谢谢你提供文件有点问题，杀毒软件直接查杀。不过，我还是跟了下，没你所说的问题。 2006-9-16 21:24 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 10 楼谢谢能把脱好的，放ftp里吗？我看能不能运行，我昨天也是脱下了的，也修复了的，也能看见是什么程序写的，但就是不能够运行了，这个ftp 可以匿名上传的，谢谢 2006-9-16 21:33 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 11 楼是个黑客软件，忘了说了，对不起，请不要运行。 2006-9-16 21:34 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 12 楼最初由 lgtiger* 发布* 谢谢能把脱好的，放ftp里吗？我看能不能运行，我昨天也是脱下了的，也修复了的，也能看见是什么程序写的，但就是不能够运行了，这个ftp 可以匿名上传的，谢谢经确认，你放出的那个文件是一个木马！开始就对你的提问很奇怪了，很简单的一个问题，提示那么仔细还搞不定，估计最终目的是让人调试这个木马中招吧，幸好有预防没中招！论坛一直是严惩放木马者的，如是病毒木马需要研究，一定得在帖子里醒目注明，否则一样严惩！ 2006-9-16 21:45 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 13 楼最初由 lgtiger* 发布* 是个黑客软件，忘了说了，对不起，请不要运行。己晚了，如果你稍有点责任心的，开始就应说明！ nbw分析了一下木马，结果如下：反向连接ip: lgtiger.3322.orgend 显示名称: KLJSend 服务名称：KLJS_Serverend 描述信息：傀儡僵尸服务端程序。释放文件：$(WinSys)\kljs_Server.exe 2006-9-16 21:46 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 14 楼真没传马的意思，你误会了哈，对不起，能告诉我你的操作吗？在那下的断呢 2006-9-16 21:47 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 15 楼才来不久，知道错了哈，望坛主高抬贵手 2006-9-16 21:49 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 16 楼看过你的程序了，直接用UPX的-d命令就可以脱，有附加数据。这个程序还调用一个delmeexe.bat的文件删除自身，就是个木马。我就想不明白这么简单的一个壳都说的这么清楚了你还不会脱？想放马是真吧？ 2006-9-16 21:58 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 17 楼还好你只是想弄个肉鸡做DDOS，要是下灰鸽子之类远程控制，小心由来无回，以后在你的网安名誉扫地！ 2006-9-16 22:03 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 18 楼真是冤枉呀，我才学习没一周呀，我怎么敢来这放什么马呀 2006-9-16 22:04 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 19 楼最初由 lgtiger* 发布* 真是冤枉呀，我才学习没一周呀，我怎么敢来这放什么马呀木马中的dns:lgtiger.3322.org; 刚好和你ID一至，说明你知道这款木马，或是为自己准备的。 2006-9-16 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lgtiger

发帖

回帖

RANK

关注

私信

他的文章

请教一个脱upx壳遇到的问题[讨论] 5510

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼这段是一个循环： 0041ABA2 6A 00 push 0 0041ABA4 39C4 cmp esp, eax 0041ABA6 ^ 75 FA jnz short 0041ABA2 你单步走，当然循环了。你只需要在041ABAB下断或F4，同时清除其他断点，按F9让程序跑起来，就会中断。 2006-9-15 15:33 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 3 楼谢谢你的回答,晚上回家去试下 2006-9-15 15:38 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 4 楼坛主,我试了,我在0041ABAB下断,按f2下断,按f9就直接跳到0041ABA4去了,这是什么问题,才学,请坛主在看看 2006-9-15 19:59 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 5 楼最初由 lgtiger* 发布* 坛主,我试了,我在0041ABAB下断,按f2下断,按f9就直接跳到0041ABA4去了,这是什么问题,才学,请坛主在看看 1.确认0041ABA4此处无断点，如有删除 2.查一下硬件断点有没有删除，如有删除 2006-9-15 20:08 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 6 楼 0041ABA4也无断点,坛主能不能占用你的点时间在qq上指导一下,谢谢 2006-9-15 21:53 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 7 楼最初由 lgtiger* 发布* 0041ABA4也无断点,坛主能不能占用你的点时间在qq上指导一下,谢谢这问题不复杂，你再细心些找找原因。如果想让别人帮你快些，你找个临时空间将文件传上去。 2006-9-15 22:25 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 8 楼谢谢坛主，就是才学习，有点菜了。文件放ftp://lpftp.3322.org/bbb.exe,请占用你点时间帮我脱下，谢谢此文件是木马，大家不要运行 2006-9-16 21:17 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 9 楼最初由 lgtiger* 发布* 谢谢坛主，就是才学习，有点菜了。文件放ftp://lpftp.3322.org/bbb.exe,请占用你点时间帮我脱下，谢谢你提供文件有点问题，杀毒软件直接查杀。不过，我还是跟了下，没你所说的问题。 2006-9-16 21:24 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 10 楼谢谢能把脱好的，放ftp里吗？我看能不能运行，我昨天也是脱下了的，也修复了的，也能看见是什么程序写的，但就是不能够运行了，这个ftp 可以匿名上传的，谢谢 2006-9-16 21:33 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 11 楼是个黑客软件，忘了说了，对不起，请不要运行。 2006-9-16 21:34 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 12 楼最初由 lgtiger* 发布* 谢谢能把脱好的，放ftp里吗？我看能不能运行，我昨天也是脱下了的，也修复了的，也能看见是什么程序写的，但就是不能够运行了，这个ftp 可以匿名上传的，谢谢经确认，你放出的那个文件是一个木马！开始就对你的提问很奇怪了，很简单的一个问题，提示那么仔细还搞不定，估计最终目的是让人调试这个木马中招吧，幸好有预防没中招！论坛一直是严惩放木马者的，如是病毒木马需要研究，一定得在帖子里醒目注明，否则一样严惩！ 2006-9-16 21:45 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 13 楼最初由 lgtiger* 发布* 是个黑客软件，忘了说了，对不起，请不要运行。己晚了，如果你稍有点责任心的，开始就应说明！ nbw分析了一下木马，结果如下：反向连接ip: lgtiger.3322.orgend 显示名称: KLJSend 服务名称：KLJS_Serverend 描述信息：傀儡僵尸服务端程序。释放文件：$(WinSys)\kljs_Server.exe 2006-9-16 21:46 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 14 楼真没传马的意思，你误会了哈，对不起，能告诉我你的操作吗？在那下的断呢 2006-9-16 21:47 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 15 楼才来不久，知道错了哈，望坛主高抬贵手 2006-9-16 21:49 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 16 楼看过你的程序了，直接用UPX的-d命令就可以脱，有附加数据。这个程序还调用一个delmeexe.bat的文件删除自身，就是个木马。我就想不明白这么简单的一个壳都说的这么清楚了你还不会脱？想放马是真吧？ 2006-9-16 21:58 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 17 楼还好你只是想弄个肉鸡做DDOS，要是下灰鸽子之类远程控制，小心由来无回，以后在你的网安名誉扫地！ 2006-9-16 22:03 0
lgtiger 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lgtiger 18 楼真是冤枉呀，我才学习没一周呀，我怎么敢来这放什么马呀 2006-9-16 22:04 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 19 楼最初由 lgtiger* 发布* 真是冤枉呀，我才学习没一周呀，我怎么敢来这放什么马呀木马中的dns:lgtiger.3322.org; 刚好和你ID一至，说明你知道这款木马，或是为自己准备的。 2006-9-16 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复