小弟求助脱UPX 0.80 - 1.24 DLL -> Markus & Laszlo-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (1)
nniixl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	nniixl 2 楼阿哦今天突然多了个进程 svch0st.exe （是数字0）google说是网银大盗 del了注册表启动删了文件留了个备份重启没有出现那个进程了就好奇想脱壳看看 peid也说是UPX 0.80 - 1.24 DLL -> Markus & Laszlo od载入后开头是这样的弄了半天也没脱掉有点晕想问下这个该怎么弄是upx壳吗？ 004158F3 > 33F7 xor esi, edi ; ntdll.7C930738 004158F5 33F7 xor esi, edi 004158F7 F7D6 not esi 004158F9 33F0 xor esi, eax 004158FB 33F0 xor esi, eax 004158FD F7D6 not esi 004158FF F8 clc 00415900 E8 58020000 call 00415B5D 00415905 A8 BA test al, 0BA 00415907 B9 6ED8A67A mov ecx, 7AA6D86E 0041590C 81D5 71469CBB adc ebp, BB9C4671 00415912 3A61 E8 cmp ah, byte ptr [ecx-18] 00415915 AC lods byte ptr [esi] 00415916 C101 00 rol dword ptr [ecx], 0 00415919 3E:9F lahf 0041591B 7D 16 jge short 00415933 0041591D 1ADD sbb bl, ch 0041591F 2F das 00415920 42 inc edx 00415921 C3 retn 00415922 F652 03 not byte ptr [edx+3] 00415925 53 push ebx 00415926 D933 fstenv (28-byte) ptr [ebx] 00415928 D2E7 shl bh, cl 0041592A 77 7B ja short 004159A7 0041592C E8 E1240400 call 00457E12 00415931 52 push edx 00415932 49 dec ecx 00415933 04 00 add al, 0 00415935 ^ 74 B0 je short 004158E7 00415937 6C ins byte ptr es:[edi], dx 00415938 A1 4768DD8F mov eax, dword ptr [8FDD6847] 0041593D ^ E1 D2 loopde short 00415911 0041593F E3 17 jecxz short 00415958 00415941 105B 89 adc byte ptr [ebx-77], bl 00415944 47 inc edi 00415945 5C pop esp 00415946 EE out dx, al 00415947 04 FA add al, 0FA 00415949 1C 0A sbb al, 0A 0041594B 8947 C2 mov dword ptr [edi-3E], eax 0041594E DAEF fisubr edi ; 非法使用寄存器 00415950 8B74DD 04 mov esi, dword ptr [ebp+ebx8+4] 00415954 59 pop ecx 00415955 D4 4A aam 4A 00415957 0800 or byte ptr [eax], al 00415959 F5 cmc 0041595A 60 pushad 0041595B F1 int1 0041595C FFF9 ??? ; 未知命令 0041595E 14 8B adc al, 8B 00415960 F8 clc 00415961 67:3A4E 50 cmp cl, byte ptr [bp+50] 00415965 73 5C jnb short 004159C3 00415967 0900 or dword ptr [eax], eax 00415969 D919 fstp dword ptr [ecx] 0041596B 51 push ecx 0041596C B8 ED690E50 mov eax, 500E69ED 00415971 - 66:71 1E jno short 00005992 00415974 04 54 add al, 54 00415976 48 dec eax 00415977 C8 818D62 enter 8D81, 62 0041597B A5 movs dword ptr es:[edi], dword ptr [e> 0041597C C9 leave 0041597D 0E push cs 0041597E 4D dec ebp 0041597F 54 push esp 00415980 FF78 ??? ; 未知命令 00415982 846490 78 test byte ptr [eax+edx4+78], ah 00415986 ^ 71 9C jno short 00415924 00415988 6A A1 push -5F 0041598A 2D 098B962E sub eax, 2E968B09 0041598F CC int3 00415990 0842 FB or byte ptr [edx-5], al 00415993 0E push cs 00415994 00CC add ah, cl 00415996 78 57 js short 004159EF 00415998 BB 51CA0A50 mov ebx, 500ACA51 0041599D BF AFCF14F3 mov edi, F314CFAF 004159A2 F9 stc 004159A3 0C CB or al, 0CB 004159A5 E1 5F loopde short 00415A06 2007-4-2 20:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

nniixl

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

nniixl: 2 楼

阿哦今天突然多了个进程 svch0st.exe （是数字0）google说是网银大盗 del了注册表启动  删了文件留了个备份

重启没有出现那个进程了  就好奇想脱壳看看 peid也说是UPX 0.80 - 1.24 DLL -> Markus & Laszlo
od载入后开头是这样的弄了半天也没脱掉有点晕  想问下这个该怎么弄是upx壳吗？

004158F3 >  33F7          xor    esi, edi                      ; ntdll.7C930738
004158F5 33F7          xor    esi, edi
004158F7 F7D6          not    esi
004158F9 33F0          xor    esi, eax
004158FB 33F0          xor    esi, eax
004158FD F7D6          not    esi
004158FF F8             clc
00415900 E8 58020000    call 00415B5D
00415905 A8 BA          test al, 0BA
00415907 B9 6ED8A67A    mov    ecx, 7AA6D86E
0041590C 81D5 71469CBB adc    ebp, BB9C4671
00415912 3A61 E8       cmp    ah, byte ptr [ecx-18]
00415915 AC             lods byte ptr [esi]
00415916 C101 00       rol    dword ptr [ecx], 0
00415919 3E:9F          lahf
0041591B 7D 16          jge    short 00415933
0041591D 1ADD          sbb    bl, ch
0041591F 2F             das
00415920 42             inc    edx
00415921 C3             retn
00415922 F652 03       not    byte ptr [edx+3]
00415925 53             push ebx
00415926 D933          fstenv  (28-byte) ptr [ebx]
00415928 D2E7          shl    bh, cl
0041592A 77 7B          ja    short 004159A7
0041592C E8 E1240400    call 00457E12
00415931 52             push edx
00415932 49             dec    ecx
00415933 04 00          add    al, 0
00415935  ^ 74 B0          je    short 004158E7
00415937 6C             ins    byte ptr es:[edi], dx
00415938 A1 4768DD8F    mov    eax, dword ptr [8FDD6847]
0041593D  ^ E1 D2          loopde  short 00415911
0041593F E3 17          jecxz short 00415958
00415941 105B 89       adc    byte ptr [ebx-77], bl
00415944 47             inc    edi
00415945 5C             pop    esp
00415946 EE             out    dx, al
00415947 04 FA          add    al, 0FA
00415949 1C 0A          sbb    al, 0A
0041594B 8947 C2       mov    dword ptr [edi-3E], eax
0041594E DAEF          fisubr  edi                            ; 非法使用寄存器
00415950 8B74DD 04    mov    esi, dword ptr [ebp+ebx*8+4]
00415954 59             pop    ecx
00415955 D4 4A          aam    4A
00415957 0800          or    byte ptr [eax], al
00415959 F5             cmc
0041595A 60             pushad
0041595B F1             int1
0041595C FFF9          ???                                     ; 未知命令
0041595E 14 8B          adc    al, 8B
00415960 F8             clc
00415961 67:3A4E 50    cmp    cl, byte ptr [bp+50]
00415965 73 5C          jnb    short 004159C3
00415967 0900          or    dword ptr [eax], eax
00415969 D919          fstp dword ptr [ecx]
0041596B 51             push ecx
0041596C B8 ED690E50    mov    eax, 500E69ED
00415971  - 66:71 1E       jno    short 00005992
00415974 04 54          add    al, 54
00415976 48             dec    eax
00415977 C8 818D62    enter 8D81, 62
0041597B A5             movs dword ptr es:[edi], dword ptr [e>
0041597C C9             leave
0041597D 0E             push cs
0041597E 4D             dec    ebp
0041597F 54             push esp
00415980 FF78          ???                                     ; 未知命令
00415982 846490 78    test byte ptr [eax+edx*4+78], ah
00415986  ^ 71 9C          jno    short 00415924
00415988 6A A1          push -5F
0041598A 2D 098B962E    sub    eax, 2E968B09
0041598F CC             int3
00415990 0842 FB       or    byte ptr [edx-5], al
00415993 0E             push cs
00415994 00CC          add    ah, cl
00415996 78 57          js    short 004159EF
00415998 BB 51CA0A50    mov    ebx, 500ACA51
0041599D BF AFCF14F3    mov    edi, F314CFAF
004159A2 F9             stc
004159A3 0C CB          or    al, 0CB
004159A5 E1 5F          loopde  short 00415A06

2007-4-2 20:43

[旧帖] 小弟求助 脱UPX 0.80 - 1.24 DLL -> Markus & Laszlo 0.00雪花

[旧帖] 小弟求助脱UPX 0.80 - 1.24 DLL -> Markus & Laszlo 0.00雪花