首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
求助,看似简单的UPX壳,怎么也脱不了
发表于: 2007-4-4 08:29 5070

求助,看似简单的UPX壳,怎么也脱不了

wwithout 活跃值
2007-4-4 08:29
5070
弄了2个星期也没脱掉!!!郁闷,大家帮帮忙!

00436550 >  60              PUSHAD                        像是UPX壳用PEID查也是
00436551    BE 00504200     MOV ESI,鱼鱼大漠.00425000
00436556    8DBE 00C0FDFF   LEA EDI,DWORD PTR DS:[ESI+FFFDC000]
0043655C    57              PUSH EDI
0043655D    83CD FF         OR EBP,FFFFFFFF
00436560    EB 10           JMP SHORT 鱼鱼大漠.00436572
00436562    90              NOP
00436563    90              NOP
00436564    90              NOP
00436565    90              NOP
00436566    90              NOP

。。。。。。。。。。。。。。。。
0043668B    57              PUSH EDI
0043668C    48              DEC EAX
0043668D    F2:AE           REPNE SCAS BYTE PTR ES:[EDI]
0043668F    55              PUSH EBP
00436690    FF96 3C980300   CALL DWORD PTR DS:[ESI+3983C]
00436696    09C0            OR EAX,EAX
00436698    74 07           JE SHORT 鱼鱼大漠.004366A1
0043669A    8903            MOV DWORD PTR DS:[EBX],EAX
0043669C    83C3 04         ADD EBX,4
0043669F  ^ EB D8           JMP SHORT 鱼鱼大漠.00436679
004366A1    FF96 40980300   CALL DWORD PTR DS:[ESI+39840]
004366A7    61              POPAD                                  UPx出口,
004366A8  - E9 73B4FCFF     JMP 鱼鱼大漠.00401B20                  这里好像是指向OEP
004366AD    0000            ADD BYTE PTR DS:[EAX],AL
004366AF    0000            ADD BYTE PTR DS:[EAX],AL
004366B1    0000            ADD BYTE PTR DS:[EAX],AL

跳到这
。。。。。。。。。。。。。。。。。。
00401B20    68 A0D64000     PUSH 鱼鱼大漠.0040D6A0   ; ASCII "VB5!6&vb6chs.dll"
00401B25    E8 F0FFFFFF     CALL 鱼鱼大漠.00401B1A   ; JMP 到 MSVBVM60.ThunRTMain
00401B2A    0000            ADD BYTE PTR DS:[EAX],AL
00401B2C    0000            ADD BYTE PTR DS:[EAX],AL
00401B2E    0000            ADD BYTE PTR DS:[EAX],AL
00401B30    3000            XOR BYTE PTR DS:[EAX],AL
00401B32    0000            ADD BYTE PTR DS:[EAX],AL

不知道怎么弄了???没法跟踪了,OD脱壳也不好用。

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (5)
wwithout
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
可以上传了

请高手下载帮下,谢谢!!
上传的附件:
2007-4-4 08:30
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
00401B20 是OEP
脱壳后修复输入表了没有?
可以使用Quick Unpack/RL!dePacker脱壳机

脱壳后如果不能运行还需要考虑自校验问题
2007-4-4 11:32
0
jerrynpc
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
5.5.5..5
2007-4-4 19:05
0
wwithout
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢,FLY用过脱壳脱不了。修复输入表了,就是不知道修复的对不对。
2007-4-6 06:56
0
wwithout
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
又发现新问题了

用F8和F4配合跟踪,到这
004365FB   /76 0F           JBE SHORT 鱼鱼大漠.0043660C
004365FD   |8A02            MOV AL,BYTE PTR DS:[EDX]
004365FF   |42              INC EDX
00436600   |8807            MOV BYTE PTR DS:[EDI],AL
00436602   |47              INC EDI
00436603   |49              DEC ECX
00436604  ^|75 F7           JNZ SHORT 鱼鱼大漠.004365FD       往上跳,
00436606  ^|E9 63FFFFFF     JMP 鱼鱼大漠.0043656E
0043660B   |90              NOP                             在这F4 程序执行了,飞了!!
0043660C   \8B02            MOV EAX,DWORD PTR DS:[EDX]
0043660E    83C2 04         ADD EDX,4
00436611    8907            MOV DWORD PTR DS:[EDI],EAX
00436613    83C7 04         ADD EDI,4
00436616    83E9 04         SUB ECX,4
2007-4-6 07:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//