又一奇怪的壳！！壳爱号者一定过来看啊-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 2 楼更奇异的区段字符，请看： 2006-10-15 12:35 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 3 楼区段字符是可以自己随便改的这个壳也没见过/lh 2006-10-15 12:50 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 http://bbs.pediy.com/showthread.php?s=&threadid=33188 2006-10-15 13:12 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 5 楼 PEiD检测是FSG v1.10 (Eng) -> dulek/xt，OD载入后停在这： 0041C087 > /EB 01 JMP SHORT upx_lock.0041C08A F7一下，到这： 0041C08A 60 PUSHAD 0041C08B E8 00000000 CALL upx_lock.0041C090 ; F8到这时命令行输入hr esp，回车 F8两次到那个0041C08B处的指令，命令行输入 hr esp，回车，现在就开始F9，中间用SHIFT+F9过一次异常，再按两次F9到这： 0040F534 39C4 CMP ESP,EAX ; 到这 0040F536 ^ 75 FA JNZ SHORT upx_lock.0040F532 0040F538 83EC 80 SUB ESP,-80 0040F53B - E9 9420FFFF JMP upx_lock.004015D4 ; 在这按F4 在0040F53B处的那条JMP指令上按F4，后面一直按F8，一直到这里： 00401654 6A 00 PUSH 0 ; OEP 00401656 E8 A10A0000 CALL upx_lock.004020FC ; JMP 到 kernel32.GetModuleHandleA 0040165B A3 52434000 MOV DWORD PTR DS:[404352],EAX 00401660 68 C8000000 PUSH 0C8 00401665 50 PUSH EAX 00401666 E8 310A0000 CALL upx_lock.0040209C ; JMP 到 USER32.LoadIconA 0040166B A3 56434000 MOV DWORD PTR DS:[404356],EAX 00401670 68 897F0000 PUSH 7F89 00401675 6A 00 PUSH 0 00401677 E8 1A0A0000 CALL upx_lock.00402096 ; JMP 到 USER32.LoadCursorA 00401654就是OEP。这个东西是被人重新加过壳的，原版就是用其自身upx_lock保护的。我传个原版和脱壳版，用法就是先把程序用UPX加壳，再用这个处理一下。上传的附件： upxlock-fixed.rar （42.56kb，5次下载） 2006-10-15 14:18 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 6 楼这个我发过了啊.呵呵 2006-10-15 14:26 0
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 7 楼最初由 CCDebuger* 发布* PEiD检测是FSG v1.10 (Eng) -> dulek/xt，OD载入后停在这： 0041C087 > /EB 01 JMP SHORT upx_lock.0041C08A F7一下，到这： 0041C08A 60 PUSHAD ........ 受益非浅！谢谢了！！！ 2006-10-16 18:03 0
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 8 楼有意思，为什么原版PIED扫描出来好像是一个媒体文件，这个壳真有趣，请看图： 2006-10-16 18:32 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 9 楼这个混淆器可惜不支持DLL,有没有办法改为支持DLL啊? 2006-10-16 21:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 10 楼 userdb搞鬼,不用extern扫描 2006-10-17 19:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 2 楼更奇异的区段字符，请看： 2006-10-15 12:35 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 3 楼区段字符是可以自己随便改的这个壳也没见过/lh 2006-10-15 12:50 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 http://bbs.pediy.com/showthread.php?s=&threadid=33188 2006-10-15 13:12 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 5 楼 PEiD检测是FSG v1.10 (Eng) -> dulek/xt，OD载入后停在这： 0041C087 > /EB 01 JMP SHORT upx_lock.0041C08A F7一下，到这： 0041C08A 60 PUSHAD 0041C08B E8 00000000 CALL upx_lock.0041C090 ; F8到这时命令行输入hr esp，回车 F8两次到那个0041C08B处的指令，命令行输入 hr esp，回车，现在就开始F9，中间用SHIFT+F9过一次异常，再按两次F9到这： 0040F534 39C4 CMP ESP,EAX ; 到这 0040F536 ^ 75 FA JNZ SHORT upx_lock.0040F532 0040F538 83EC 80 SUB ESP,-80 0040F53B - E9 9420FFFF JMP upx_lock.004015D4 ; 在这按F4 在0040F53B处的那条JMP指令上按F4，后面一直按F8，一直到这里： 00401654 6A 00 PUSH 0 ; OEP 00401656 E8 A10A0000 CALL upx_lock.004020FC ; JMP 到 kernel32.GetModuleHandleA 0040165B A3 52434000 MOV DWORD PTR DS:[404352],EAX 00401660 68 C8000000 PUSH 0C8 00401665 50 PUSH EAX 00401666 E8 310A0000 CALL upx_lock.0040209C ; JMP 到 USER32.LoadIconA 0040166B A3 56434000 MOV DWORD PTR DS:[404356],EAX 00401670 68 897F0000 PUSH 7F89 00401675 6A 00 PUSH 0 00401677 E8 1A0A0000 CALL upx_lock.00402096 ; JMP 到 USER32.LoadCursorA 00401654就是OEP。这个东西是被人重新加过壳的，原版就是用其自身upx_lock保护的。我传个原版和脱壳版，用法就是先把程序用UPX加壳，再用这个处理一下。上传的附件： upxlock-fixed.rar （42.56kb，5次下载） 2006-10-15 14:18 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 6 楼这个我发过了啊.呵呵 2006-10-15 14:26 0
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 7 楼最初由 CCDebuger* 发布* PEiD检测是FSG v1.10 (Eng) -> dulek/xt，OD载入后停在这： 0041C087 > /EB 01 JMP SHORT upx_lock.0041C08A F7一下，到这： 0041C08A 60 PUSHAD ........ 受益非浅！谢谢了！！！ 2006-10-16 18:03 0
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 8 楼有意思，为什么原版PIED扫描出来好像是一个媒体文件，这个壳真有趣，请看图： 2006-10-16 18:32 0
balini 雪币： 198 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 102 粉丝 0 关注私信	balini 9 楼这个混淆器可惜不支持DLL,有没有办法改为支持DLL啊? 2006-10-16 21:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 10 楼 userdb搞鬼,不用extern扫描 2006-10-17 19:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复