[求助]请问这是UPX吗?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]请问这是UPX吗?

发表于: 2006-11-7 17:33 3999

[求助]请问这是UPX吗?

shineh

2006-11-7 17:33

3999

用PEid查壳显示 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

试了一些UPX脱壳机都显示错误
OD载入看起来感觉像UPX 但又好像不太是

00619DE0 > $ 60          PUSHAD
00619DE1 . BE 00305B00 MOV ESI,234.005B3000
00619DE6 . 8DBE 00E0E4FF  LEA EDI,DWORD PTR DS:[ESI+FFE4E000]
00619DEC . 57          PUSH EDI
00619DED . 83CD FF       OR EBP,FFFFFFFF
00619DF0 . EB 10       JMP SHORT 234.00619E02
00619DF2    90          NOP
00619DF3    90          NOP
00619DF4    90          NOP
00619DF5    90          NOP
00619DF6    90          NOP
00619DF7    90          NOP
00619DF8 > 8A06          MOV AL,BYTE PTR DS:[ESI]
00619DFA . 46          INC ESI
00619DFB . 8807          MOV BYTE PTR DS:[EDI],AL
00619DFD . 47          INC EDI
00619DFE > 01DB          ADD EBX,EBX
00619E00 . 75 07       JNZ SHORT 234.00619E09
00619E02 > 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E04 . 83EE FC       SUB ESI,-4
00619E07 . 11DB          ADC EBX,EBX
00619E09 >^72 ED       JB SHORT 234.00619DF8
00619E0B . B8 01000000 MOV EAX,1
00619E10 > 01DB          ADD EBX,EBX
00619E12 . 75 07       JNZ SHORT 234.00619E1B
00619E14 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E16 . 83EE FC       SUB ESI,-4
00619E19 . 11DB          ADC EBX,EBX
00619E1B > 11C0          ADC EAX,EAX
00619E1D . 01DB          ADD EBX,EBX
00619E1F . 73 0B       JNB SHORT 234.00619E2C
00619E21 . 75 28       JNZ SHORT 234.00619E4B
00619E23 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E25 . 83EE FC       SUB ESI,-4
00619E28 . 11DB          ADC EBX,EBX
00619E2A . 72 1F       JB SHORT 234.00619E4B
00619E2C > 48          DEC EAX
00619E2D . 01DB          ADD EBX,EBX
00619E2F . 75 07       JNZ SHORT 234.00619E38
00619E31 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E33 . 83EE FC       SUB ESI,-4
00619E36 . 11DB          ADC EBX,EBX
00619E38 > 11C0          ADC EAX,EAX
00619E3A .^EB D4       JMP SHORT 234.00619E10
00619E3C > 01DB          ADD EBX,EBX
00619E3E . 75 07       JNZ SHORT 234.00619E47
00619E40 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E42 . 83EE FC       SUB ESI,-4
00619E45 . 11DB          ADC EBX,EBX
00619E47 > 11C9          ADC ECX,ECX
00619E49 . EB 52       JMP SHORT 234.00619E9D
00619E4B > 31C9          XOR ECX,ECX
00619E4D . 83E8 03       SUB EAX,3
00619E50 . 72 11       JB SHORT 234.00619E63
00619E52 . C1E0 08       SHL EAX,8
00619E55 . 8A06          MOV AL,BYTE PTR DS:[ESI]
00619E57 . 46          INC ESI
00619E58 . 83F0 FF       XOR EAX,FFFFFFFF
00619E5B . 74 75       JE SHORT 234.00619ED2
00619E5D . D1F8          SAR EAX,1
00619E5F . 89C5          MOV EBP,EAX
00619E61 . EB 0B       JMP SHORT 234.00619E6E
00619E63 > 01DB          ADD EBX,EBX
00619E65 . 75 07       JNZ SHORT 234.00619E6E
00619E67 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E69 . 83EE FC       SUB ESI,-4
00619E6C . 11DB          ADC EBX,EBX
00619E6E >^72 CC       JB SHORT 234.00619E3C
00619E70 . 41          INC ECX
00619E71 . 01DB          ADD EBX,EBX
00619E73 . 75 07       JNZ SHORT 234.00619E7C
00619E75 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E77 . 83EE FC       SUB ESI,-4
00619E7A . 11DB          ADC EBX,EBX
00619E7C >^72 BE       JB SHORT 234.00619E3C
00619E7E > 01DB          ADD EBX,EBX
00619E80 . 75 07       JNZ SHORT 234.00619E89
00619E82 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E84 . 83EE FC       SUB ESI,-4
00619E87 . 11DB          ADC EBX,EBX
00619E89 > 11C9          ADC ECX,ECX
00619E8B . 01DB          ADD EBX,EBX
00619E8D .^73 EF       JNB SHORT 234.00619E7E
00619E8F . 75 09       JNZ SHORT 234.00619E9A
00619E91 . 8B1E          MOV EBX,DWORD PTR DS:[ESI]
00619E93 . 83EE FC       SUB ESI,-4
00619E96 . 11DB          ADC EBX,EBX
00619E98 .^73 E4       JNB SHORT 234.00619E7E
00619E9A > 83C1 02       ADD ECX,2
00619E9D > 81FD 00FBFFFF  CMP EBP,-500
00619EA3 . 83D1 02       ADC ECX,2
00619EA6 . 8D142F       LEA EDX,DWORD PTR DS:[EDI+EBP]
00619EA9 . 83FD FC       CMP EBP,-4
00619EAC . 76 0E       JBE SHORT 234.00619EBC
00619EAE > 8A02          MOV AL,BYTE PTR DS:[EDX]
00619EB0 . 42          INC EDX
00619EB1 . 8807          MOV BYTE PTR DS:[EDI],AL
00619EB3 . 47          INC EDI
00619EB4 . 49          DEC ECX
00619EB5 .^75 F7       JNZ SHORT 234.00619EAE
00619EB7 .^E9 42FFFFFF JMP 234.00619DFE
00619EBC > 8B02          MOV EAX,DWORD PTR DS:[EDX]
00619EBE . 83C2 04       ADD EDX,4
00619EC1 . 8907          MOV DWORD PTR DS:[EDI],EAX
00619EC3 . 83C7 04       ADD EDI,4
00619EC6 . 83E9 04       SUB ECX,4
00619EC9 .^77 F1       JA SHORT 234.00619EBC
00619ECB . 01CF          ADD EDI,ECX
00619ECD .^E9 2CFFFFFF JMP 234.00619DFE
00619ED2 > 5E          POP ESI
00619ED3 . 89F7          MOV EDI,ESI
00619ED5 . B9 6D020000 MOV ECX,26D
00619EDA > 8A07          MOV AL,BYTE PTR DS:[EDI]
00619EDC . 47          INC EDI
00619EDD . 2C E8       SUB AL,0E8
00619EDF > 3C 01       CMP AL,1
00619EE1 .^77 F7       JA SHORT 234.00619EDA
00619EE3 . 803F 06       CMP BYTE PTR DS:[EDI],6
00619EE6 .^75 F2       JNZ SHORT 234.00619EDA
00619EE8 . 8B07          MOV EAX,DWORD PTR DS:[EDI]
00619EEA . 8A5F 04       MOV BL,BYTE PTR DS:[EDI+4]
00619EED . 66:C1E8 08    SHR AX,8
00619EF1 . C1C0 10       ROL EAX,10
00619EF4 . 86C4          XCHG AH,AL
00619EF6 . 29F8          SUB EAX,EDI
00619EF8 . 80EB E8       SUB BL,0E8
00619EFB . 01F0          ADD EAX,ESI
00619EFD . 8907          MOV DWORD PTR DS:[EDI],EAX
00619EFF . 83C7 05       ADD EDI,5
00619F02 . 88D8          MOV AL,BL
00619F04 .^E2 D9       LOOPD SHORT 234.00619EDF
00619F06 . 8DBE 00702100  LEA EDI,DWORD PTR DS:[ESI+217000]
00619F0C > 8B07          MOV EAX,DWORD PTR DS:[EDI]
00619F0E . 09C0          OR EAX,EAX
00619F10 . 74 3C       JE SHORT 234.00619F4E
00619F12 . 8B5F 04       MOV EBX,DWORD PTR DS:[EDI+4]
00619F15 . 8D8430 50B3210>LEA EAX,DWORD PTR DS:[EAX+ESI+21B350]
00619F1C . 01F3          ADD EBX,ESI
00619F1E . 50          PUSH EAX
00619F1F . 83C7 08       ADD EDI,8
00619F22 . FF96 B4B32100  CALL DWORD PTR DS:[ESI+21B3B4]
00619F28 . 95          XCHG EAX,EBP
00619F29 > 8A07          MOV AL,BYTE PTR DS:[EDI]
00619F2B . 47          INC EDI
00619F2C . 08C0          OR AL,AL
00619F2E .^74 DC       JE SHORT 234.00619F0C
00619F30 . 89F9          MOV ECX,EDI
00619F32 . 57          PUSH EDI
00619F33 . 48          DEC EAX
00619F34 . F2:AE       REPNE SCAS BYTE PTR ES:[EDI]
00619F36 . 55          PUSH EBP
00619F37 . FF96 B8B32100  CALL DWORD PTR DS:[ESI+21B3B8]
00619F3D . 09C0          OR EAX,EAX
00619F3F . 74 07       JE SHORT 234.00619F48
00619F41 . 8903          MOV DWORD PTR DS:[EBX],EAX
00619F43 . 83C3 04       ADD EBX,4
00619F46 .^EB E1       JMP SHORT 234.00619F29
00619F48 > FF96 C0B32100  CALL DWORD PTR DS:[ESI+21B3C0]
00619F4E > 8BAE BCB32100  MOV EBP,DWORD PTR DS:[ESI+21B3BC]
00619F54 . 8DBE 00F0FFFF  LEA EDI,DWORD PTR DS:[ESI-1000]
00619F5A . BB 00100000 MOV EBX,1000
00619F5F . 50          PUSH EAX
00619F60 . 54          PUSH ESP
00619F61 . 6A 04       PUSH 4
00619F63 . 53          PUSH EBX
00619F64 . 57          PUSH EDI
00619F65 . FFD5          CALL EBP
00619F67 . 80A7 F7010000 >AND BYTE PTR DS:[EDI+1F7],7F
00619F6E . 58          POP EAX
00619F6F . 50          PUSH EAX
00619F70 . 54          PUSH ESP
00619F71 . 50          PUSH EAX
00619F72 . 53          PUSH EBX
00619F73 . 57          PUSH EDI
00619F74 . FFD5          CALL EBP
00619F76 . 58          POP EAX
00619F77 . 61          POPAD
00619F78 . 8D4424 80    LEA EAX,DWORD PTR SS:[ESP-80]
00619F7C > 6A 00       PUSH 0
00619F7E . 39C4          CMP ESP,EAX
00619F80 .^75 FA       JNZ SHORT 234.00619F7C
00619F82 . 83EC 80       SUB ESP,-80
00619F85 .-E9 32DDDEFF JMP 234.00407CBC

以请大虾看一下  指点指点方法

软件连接:
http://www.thaibuzz.net/download/invkore/KoreExII-invkore.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (4)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 00407CBC　看看 2006-11-7 17:36 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 3 楼就是UPX，用UPX的-d命令就可以脱。脱出来是Microsoft Visual C++ 6.0。又是个什么外挂吧？ 2006-11-7 17:40 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 4 楼典型的UPX，可能改了文件头什么的 2006-11-7 18:43 0
shineh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	shineh 5 楼已脱掉原来是我的upx版本太老旧,换成2.02版就可以了谢谢各位! 2006-11-7 19:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shineh

发帖

回帖

RANK

关注

私信

他的文章

[求助]这个是什么壳？ 3486
[求助]请问这是UPX吗? 4000

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 00407CBC　看看 2006-11-7 17:36 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 3 楼就是UPX，用UPX的-d命令就可以脱。脱出来是Microsoft Visual C++ 6.0。又是个什么外挂吧？ 2006-11-7 17:40 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 4 楼典型的UPX，可能改了文件头什么的 2006-11-7 18:43 0
shineh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	shineh 5 楼已脱掉原来是我的upx版本太老旧,换成2.02版就可以了谢谢各位! 2006-11-7 19:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复