我见到一个很强劲的壳，解不了，巨虾帮忙！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 borland c++ upx + aspack 2007-6-25 09:23 0
kid007 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	kid007 3 楼用peid查看是UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo，但是你尝试一下就知道了，很难搞的 2007-6-26 08:15 0
founder 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 281 粉丝 0 关注私信	founder 4 楼变向请求破解? 这软件是干啥的?为什么没有个简单介绍? 是木马不? 对系统有什么影响不? 论坛的人可不喜欢你这样一上来就丢一个程序过来,不要考验大家杀毒和杀马的能力和耐心. 2007-6-26 10:38 0
pillcor 雪币： 47 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	pillcor 1 5 楼 PEID0.94查壳为 ASPack 2.12 -> Alexey Solodovnikov OD载入 alt+f查找“popad”找到如下代码 006D33AF 61 POPAD 006D33B0 75 08 JNZ SHORT joyrohan.006D33BA 006D33B2 B8 01000000 MOV EAX,1 006D33B7 C2 0C00 RETN 0C 006D33BA 68 00000000 PUSH 0 006D33BF C3 RETN 在下面这行F4 006D33AF 61 POPAD 然后在下面这行跳走 006D33BF C3 RETN 跳到这个位置 00656480 60 PUSHAD 00656481 BE 00305900 MOV ESI,joyrohan.00593000 00656486 8DBE 00E0E6FF LEA EDI,DWORD PTR DS:[ESI+FFE6E000] 0065648C C787 44141B00 B>MOV DWORD PTR DS:[EDI+1B1444],16B43FB3 00656496 57 PUSH EDI 停在这行 00656480 60 PUSHAD 此时脱壳，脱壳文件命名为11111111.exe， PEID0.94查壳为 UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 此时需要继续OD载入，停在这个位置 00656480 60 PUSHAD 00656481 BE 00305900 MOV ESI,joyrohan.00593000 00656486 8DBE 00E0E6FF LEA EDI,DWORD PTR DS:[ESI+FFE6E000] 0065648C C787 44141B00 B>MOV DWORD PTR DS:[EDI+1B1444],16B43FB3 00656496 57 PUSH EDI alt+f查找“popad”找到如下代码 006565F3 61 POPAD 006565F4 - E9 77AFDAFF JMP 11111111.00401570 006565F9 0000 ADD BYTE PTR DS:[EAX],AL 006565FB 001466 ADD BYTE PTR DS:[ESI],DL 006565FE 65:00CC ADD AH,CL ; 多余的前缀停在这行 006565F3 61 POPAD F4运行到这行，然后F8从下面这行跳走 006565F4 - E9 77AFDAFF JMP 11111111.00401570 跳到这个位置 00401570 /EB 10 JMP SHORT 11111111.00401582 00401572 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 00401575 \|43 INC EBX 00401576 \|2B2B SUB EBP,DWORD PTR DS:[EBX] 00401578 \|48 DEC EAX 00401579 \|4F DEC EDI 0040157A \|4F DEC EDI 0040157B \|4B DEC EBX 0040157C \|90 NOP 0040157D -\|E9 98205A00 JMP 009A361A 00401582 \A1 8B205A00 MOV EAX,DWORD PTR DS:[5A208B] 00401587 C1E0 02 SHL EAX,2 停在这行 00401570 /EB 10 JMP SHORT 11111111.00401582 此时脱壳，脱壳后文件命名为222.exe PEID0.94查壳为 Borland C++ 1999 搞定！！ 2007-6-26 11:26 0
rypjoin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 56 粉丝 0 关注私信	rypjoin 6 楼最后一步为什么要命名为222.exe 其他的名字可以不 2007-7-11 02:26 0
disth 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 192 粉丝 1 关注私信	disth 7 楼你太幽默了！！1 2007-7-11 08:56 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 8 楼汗,那只是一个文件名而已吧!!! 2007-7-11 08:58 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 9 楼 esp定律,10秒搞定 2007-7-11 09:00 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 10 楼纪录已刷新到10秒.还没有更快的 2007-7-11 13:24 0
luzhmu 雪币： 86 活跃值： (1248) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 651 粉丝 7 关注私信	luzhmu 11 楼有，现在用OD载入，直接到地址00401570，DUMP，5秒 2007-7-11 14:45 0
宝贝不哭雪币： 203 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 79 粉丝 0 关注私信	宝贝不哭 12 楼 ASP 2.12和 UPX 的 2次ESP 都可以搞定的 2007-7-11 20:52 0
lygxuxu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	lygxuxu 13 楼呵呵，我也有个未知壳，这样倒不敢发了 2007-7-11 21:05 0
wwwlideyu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	wwwlideyu 14 楼 2007-7-11 21:45 0
skyhk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	skyhk 15 楼真厉害， 10 秒· 佩服 2007-7-15 18:41 0
xstar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	xstar 16 楼这帖子好无聊，路过中，学的皮毛的皮毛 2007-7-16 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 borland c++ upx + aspack 2007-6-25 09:23 0
kid007 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	kid007 3 楼用peid查看是UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo，但是你尝试一下就知道了，很难搞的 2007-6-26 08:15 0
founder 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 281 粉丝 0 关注私信	founder 4 楼变向请求破解? 这软件是干啥的?为什么没有个简单介绍? 是木马不? 对系统有什么影响不? 论坛的人可不喜欢你这样一上来就丢一个程序过来,不要考验大家杀毒和杀马的能力和耐心. 2007-6-26 10:38 0
pillcor 雪币： 47 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	pillcor 1 5 楼 PEID0.94查壳为 ASPack 2.12 -> Alexey Solodovnikov OD载入 alt+f查找“popad”找到如下代码 006D33AF 61 POPAD 006D33B0 75 08 JNZ SHORT joyrohan.006D33BA 006D33B2 B8 01000000 MOV EAX,1 006D33B7 C2 0C00 RETN 0C 006D33BA 68 00000000 PUSH 0 006D33BF C3 RETN 在下面这行F4 006D33AF 61 POPAD 然后在下面这行跳走 006D33BF C3 RETN 跳到这个位置 00656480 60 PUSHAD 00656481 BE 00305900 MOV ESI,joyrohan.00593000 00656486 8DBE 00E0E6FF LEA EDI,DWORD PTR DS:[ESI+FFE6E000] 0065648C C787 44141B00 B>MOV DWORD PTR DS:[EDI+1B1444],16B43FB3 00656496 57 PUSH EDI 停在这行 00656480 60 PUSHAD 此时脱壳，脱壳文件命名为11111111.exe， PEID0.94查壳为 UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 此时需要继续OD载入，停在这个位置 00656480 60 PUSHAD 00656481 BE 00305900 MOV ESI,joyrohan.00593000 00656486 8DBE 00E0E6FF LEA EDI,DWORD PTR DS:[ESI+FFE6E000] 0065648C C787 44141B00 B>MOV DWORD PTR DS:[EDI+1B1444],16B43FB3 00656496 57 PUSH EDI alt+f查找“popad”找到如下代码 006565F3 61 POPAD 006565F4 - E9 77AFDAFF JMP 11111111.00401570 006565F9 0000 ADD BYTE PTR DS:[EAX],AL 006565FB 001466 ADD BYTE PTR DS:[ESI],DL 006565FE 65:00CC ADD AH,CL ; 多余的前缀停在这行 006565F3 61 POPAD F4运行到这行，然后F8从下面这行跳走 006565F4 - E9 77AFDAFF JMP 11111111.00401570 跳到这个位置 00401570 /EB 10 JMP SHORT 11111111.00401582 00401572 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 00401575 \|43 INC EBX 00401576 \|2B2B SUB EBP,DWORD PTR DS:[EBX] 00401578 \|48 DEC EAX 00401579 \|4F DEC EDI 0040157A \|4F DEC EDI 0040157B \|4B DEC EBX 0040157C \|90 NOP 0040157D -\|E9 98205A00 JMP 009A361A 00401582 \A1 8B205A00 MOV EAX,DWORD PTR DS:[5A208B] 00401587 C1E0 02 SHL EAX,2 停在这行 00401570 /EB 10 JMP SHORT 11111111.00401582 此时脱壳，脱壳后文件命名为222.exe PEID0.94查壳为 Borland C++ 1999 搞定！！ 2007-6-26 11:26 0
rypjoin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 56 粉丝 0 关注私信	rypjoin 6 楼最后一步为什么要命名为222.exe 其他的名字可以不 2007-7-11 02:26 0
disth 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 192 粉丝 1 关注私信	disth 7 楼你太幽默了！！1 2007-7-11 08:56 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 8 楼汗,那只是一个文件名而已吧!!! 2007-7-11 08:58 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 9 楼 esp定律,10秒搞定 2007-7-11 09:00 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 10 楼纪录已刷新到10秒.还没有更快的 2007-7-11 13:24 0
luzhmu 雪币： 86 活跃值： (1248) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 651 粉丝 7 关注私信	luzhmu 11 楼有，现在用OD载入，直接到地址00401570，DUMP，5秒 2007-7-11 14:45 0
宝贝不哭雪币： 203 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 79 粉丝 0 关注私信	宝贝不哭 12 楼 ASP 2.12和 UPX 的 2次ESP 都可以搞定的 2007-7-11 20:52 0
lygxuxu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	lygxuxu 13 楼呵呵，我也有个未知壳，这样倒不敢发了 2007-7-11 21:05 0
wwwlideyu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	wwwlideyu 14 楼 2007-7-11 21:45 0
skyhk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	skyhk 15 楼真厉害， 10 秒· 佩服 2007-7-15 18:41 0
xstar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	xstar 16 楼这帖子好无聊，路过中，学的皮毛的皮毛 2007-7-16 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复