一个新的upackme，需要挑战的进。难度[进阶]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

一个新的upackme，需要挑战的进。难度[进阶]

2004-8-24 20:37 6280

一个新的upackme，需要挑战的进。难度[进阶]

鸡蛋壳

2004-8-24 20:37

6280

玩玩吧。秒脱是完全可以的，毕竟我加的壳，所以我自然非常清楚这些壳。

附件:upckme.rar

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・4

免费・1

打赏

最新回复 (22)
fxyang 雪币： 2193 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 61 关注私信	fxyang 20 2004-8-25 13:52 2 楼 0 试了一下附件:dump_upckme.rar
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-25 14:45 3 楼 0 并没有修复好啊。呵呵，离结果还差了一点。
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 2004-8-25 15:20 4 楼 0 FSG + DAEMON Protect 早百年的东西，还拿来卖什么？
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-25 15:28 5 楼 0 呵呵，FSG V2.0 + DAEMON Protect UnPacked 优化时调整了部分代码，开个玩笑啦 Try ;) 附件:UnPacked.rar
fxyang 雪币： 2193 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 61 关注私信	fxyang 20 2004-8-25 15:32 6 楼 0 没有注意，修正了附件:dump_upckme_xf.rar
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-25 15:44 7 楼 0 最初由 hswanfang 发布 FSG + DAEMON Protect 早百年的东西，还拿来卖什么？晕，你懂个P。壳这谁都知道是弱壳，我这样加有我的道理，这不，如果换了一个大程序，300多个API，你不就刁了。这个里面有个关键的API，不过我看见2个人都找到了，技术很熟练嘛。呵呵。
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 2004-8-25 16:47 8 楼 0 老兄你的程序运行以后占有CPU很高耶
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-25 16:56 9 楼 0 最初由 Sen 发布老兄你的程序运行以后占有CPU很高耶这个不是我的壳，我之所以用这个2个壳，首先看中了它的优点与UPACME结合的很好，总之，这个作为进阶练手很合适，至少我认为比TELOCK强多了。
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 2004-8-25 16:58 10 楼 0 高！
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-25 22:20 11 楼 0 哪位兄弟放个能成功加壳的DAEMON Protect？
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-8-26 01:53 12 楼 0 好彩只有两个API，否则都不知道怎么修复。似乎壳与程序结合起来了，程序运行过程中还原API地址。
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-26 13:09 13 楼 0 最初由 lzqgj 发布好彩只有两个API，否则都不知道怎么修复。似乎壳与程序结合起来了，程序运行过程中还原API地址。没这么严重可以直接避开IAT加密
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-26 15:06 14 楼 0 最初由 fly 发布没这么严重可以直接避开IAT加密虽然避开，还是需要手动修复一个指针得，这个只是个实验品，主要是对付工具修复，已经避开修复的一个方法而已。
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2004-8-27 00:14 15 楼 0 都说可以秒杀,但是我在找OEP的时候都碰到了困难! 00407950 . 8B00 mov eax,dword ptr ds:[eax] 00407952 . FF95 9E694000 call dword ptr ss:[ebp+40699E] 00407958 . 8B58 3C mov ebx,dword ptr ds:[eax+3C] 0040795B . 03D8 add ebx,eax 0040795D . 8B5B 78 mov ebx,dword ptr ds:[ebx+78] 00407960 . 8D5C03 1C lea ebx,dword ptr ds:[ebx+eax+1C] 00407964 . 8B1B mov ebx,dword ptr ds:[ebx] 00407966 . 030418 add eax,dword ptr ds:[eax+ebx] 00407969 . 8B95 1EC84000 mov edx,dword ptr ss:[ebp+40C81E] 0040796F . 8B9D 26C84000 mov ebx,dword ptr ss:[ebp+40C826] 这个倒数第2个异常! 004010C7 $- FF25 64304000 jmp dword ptr ds:[403064] 004010CD 00 db 00 004010CE 00 db 00 004010CF 00 db 00 004010D0 00 db 00 004010D1 00 db 00 004010D2 00 db 00 这个是最后一个异常! 但在看了fly的unpack了以后,知道这个异常已经过了OEP,这样在倒数第2个异常后,40109d下断,就能到达OEP.但是,fly你们是怎么知道OEP在这里的,不要告诉我用trace啊!我的机器trace了1个小时,有一个循环还没出来!
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-27 01:15 16 楼 0 我的unpacked为了优化调整了部分代码
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-8-27 20:04 17 楼 0 在最后一个异常后，我是用内存断点在401000模块上下断，停在401000，跟几步就到40109D。前面的代码好象是加解密API的。如果不是看了脱壳文件，我也不知道可以直接在40109D处作OEP，我会在401000处脱壳，但后面的API处理我就不懂怎么办了。
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2004-8-28 02:23 18 楼 0 lzqgj 你脱出来的东西能修复吗？这个壳有一定的代表性，希望各位脱好了的，大哥能详细说明一下！
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-28 02:25 19 楼 0 DAEMON Protect 0.6.7脱壳――protect beta-last.exe主程序以前写过这个壳的教程在老论坛上面，现在暂时无法访问
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-28 08:51 20 楼 0 最初由 fly 发布 DAEMON Protect 0.6.7脱壳――protect beta-last.exe主程序以前写过这个壳的教程在老论坛上面，现在暂时无法访问好像密界脱文一有收录刚看到就有这么多人脱了，我只好找个板凳看戏
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2004-8-28 18:10 21 楼 0 不知道，在看雪精华里面有吗？我到现在还不知道OEP是哪条语句，fly优化出来的居然只有2k！真是应该开始好好学学优化代码了！
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-8-28 20:48 22 楼 0 我只知道从401000开始到40109D有几个API，如loadlibrary，GetprocAdress，VirtueProtect，但我真不懂怎么修复。我尝试了将几个解密API的CALL修复成正确的API，但到后来运行时有错。
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2004-8-29 11:32 23 楼 0 这个MESSAGEBOX确实有点特点
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

鸡蛋壳

456

发帖

3147

回帖

RANK

关注

私信

他的文章

[转帖]用多媒体学Visual C++ 2008 系统学习VC 2008必备教程

[下载]新壳 OSP软件平台功能说明

[讨论]微点不识英文？！

[转帖]R3隐藏硬盘分区

[推荐]内存清零KILL进程

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
fxyang 雪币： 2193 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 61 关注私信	fxyang 20 2004-8-25 13:52 2 楼 0 试了一下附件:dump_upckme.rar
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-25 14:45 3 楼 0 并没有修复好啊。呵呵，离结果还差了一点。
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 2004-8-25 15:20 4 楼 0 FSG + DAEMON Protect 早百年的东西，还拿来卖什么？
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-25 15:28 5 楼 0 呵呵，FSG V2.0 + DAEMON Protect UnPacked 优化时调整了部分代码，开个玩笑啦 Try ;) 附件:UnPacked.rar
fxyang 雪币： 2193 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 61 关注私信	fxyang 20 2004-8-25 15:32 6 楼 0 没有注意，修正了附件:dump_upckme_xf.rar
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-25 15:44 7 楼 0 最初由 hswanfang 发布 FSG + DAEMON Protect 早百年的东西，还拿来卖什么？晕，你懂个P。壳这谁都知道是弱壳，我这样加有我的道理，这不，如果换了一个大程序，300多个API，你不就刁了。这个里面有个关键的API，不过我看见2个人都找到了，技术很熟练嘛。呵呵。
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 2004-8-25 16:47 8 楼 0 老兄你的程序运行以后占有CPU很高耶
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-25 16:56 9 楼 0 最初由 Sen 发布老兄你的程序运行以后占有CPU很高耶这个不是我的壳，我之所以用这个2个壳，首先看中了它的优点与UPACME结合的很好，总之，这个作为进阶练手很合适，至少我认为比TELOCK强多了。
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 2004-8-25 16:58 10 楼 0 高！
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-25 22:20 11 楼 0 哪位兄弟放个能成功加壳的DAEMON Protect？
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-8-26 01:53 12 楼 0 好彩只有两个API，否则都不知道怎么修复。似乎壳与程序结合起来了，程序运行过程中还原API地址。
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-26 13:09 13 楼 0 最初由 lzqgj 发布好彩只有两个API，否则都不知道怎么修复。似乎壳与程序结合起来了，程序运行过程中还原API地址。没这么严重可以直接避开IAT加密
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-8-26 15:06 14 楼 0 最初由 fly 发布没这么严重可以直接避开IAT加密虽然避开，还是需要手动修复一个指针得，这个只是个实验品，主要是对付工具修复，已经避开修复的一个方法而已。
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2004-8-27 00:14 15 楼 0 都说可以秒杀,但是我在找OEP的时候都碰到了困难! 00407950 . 8B00 mov eax,dword ptr ds:[eax] 00407952 . FF95 9E694000 call dword ptr ss:[ebp+40699E] 00407958 . 8B58 3C mov ebx,dword ptr ds:[eax+3C] 0040795B . 03D8 add ebx,eax 0040795D . 8B5B 78 mov ebx,dword ptr ds:[ebx+78] 00407960 . 8D5C03 1C lea ebx,dword ptr ds:[ebx+eax+1C] 00407964 . 8B1B mov ebx,dword ptr ds:[ebx] 00407966 . 030418 add eax,dword ptr ds:[eax+ebx] 00407969 . 8B95 1EC84000 mov edx,dword ptr ss:[ebp+40C81E] 0040796F . 8B9D 26C84000 mov ebx,dword ptr ss:[ebp+40C826] 这个倒数第2个异常! 004010C7 $- FF25 64304000 jmp dword ptr ds:[403064] 004010CD 00 db 00 004010CE 00 db 00 004010CF 00 db 00 004010D0 00 db 00 004010D1 00 db 00 004010D2 00 db 00 这个是最后一个异常! 但在看了fly的unpack了以后,知道这个异常已经过了OEP,这样在倒数第2个异常后,40109d下断,就能到达OEP.但是,fly你们是怎么知道OEP在这里的,不要告诉我用trace啊!我的机器trace了1个小时,有一个循环还没出来!
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-27 01:15 16 楼 0 我的unpacked为了优化调整了部分代码
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-8-27 20:04 17 楼 0 在最后一个异常后，我是用内存断点在401000模块上下断，停在401000，跟几步就到40109D。前面的代码好象是加解密API的。如果不是看了脱壳文件，我也不知道可以直接在40109D处作OEP，我会在401000处脱壳，但后面的API处理我就不懂怎么办了。
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2004-8-28 02:23 18 楼 0 lzqgj 你脱出来的东西能修复吗？这个壳有一定的代表性，希望各位脱好了的，大哥能详细说明一下！
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-28 02:25 19 楼 0 DAEMON Protect 0.6.7脱壳――protect beta-last.exe主程序以前写过这个壳的教程在老论坛上面，现在暂时无法访问
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-28 08:51 20 楼 0 最初由 fly 发布 DAEMON Protect 0.6.7脱壳――protect beta-last.exe主程序以前写过这个壳的教程在老论坛上面，现在暂时无法访问好像密界脱文一有收录刚看到就有这么多人脱了，我只好找个板凳看戏
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 2004-8-28 18:10 21 楼 0 不知道，在看雪精华里面有吗？我到现在还不知道OEP是哪条语句，fly优化出来的居然只有2k！真是应该开始好好学学优化代码了！
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-8-28 20:48 22 楼 0 我只知道从401000开始到40109D有几个API，如loadlibrary，GetprocAdress，VirtueProtect，但我真不懂怎么修复。我尝试了将几个解密API的CALL修复成正确的API，但到后来运行时有错。
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2004-8-29 11:32 23 楼 0 这个MESSAGEBOX确实有点特点
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复