首页
社区
课程
招聘
[分享]手工脱壳UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stub - Markus & Laszlo
发表于: 2007-7-19 22:29 10293

[分享]手工脱壳UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stub - Markus & Laszlo

2007-7-19 22:29
10293
兄弟们好今天给大家来干UPX 0.89.6 - 1.02  1.05 - 1.24 (Delphi) stub - Markus & Laszlo的壳

希望对大家有点帮助,做试验的工具是Domain3.5 有名的入侵辅助工具

UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 没错就是它

这个壳很好脱
来看示范 点否!

记住F8单步向下 F4断点

先向下 有一点大家一定要记得 脱壳一定要让程序向下走不能回跳

00640FC0    8A06            MOV AL,BYTE PTR DS:[ESI]
00640FC2    46              INC ESI
00640FC3    8807            MOV BYTE PTR DS:[EDI],AL
00640FC5    47              INC EDI
00640FC6    01DB            ADD EBX,EBX
00640FC8    75 07           JNZ SHORT Domain3_.00640FD1
00640FCA    8B1E            MOV EBX,DWORD PTR DS:[ESI]
00640FCC    83EE FC         SUB ESI,-4
00640FCF    11DB            ADC EBX,EBX
00640FD1  ^ 72 ED           JB SHORT Domain3_.00640FC0
00640FD3    B8 01000000     MOV EAX,1<----------断点F4

00641069    8A02            MOV AL,BYTE PTR DS:[EDX]
0064106B    42              INC EDX
0064106C    8807            MOV BYTE PTR DS:[EDI],AL
0064106E    47              INC EDI
0064106F    49              DEC ECX
00641070  ^ 75 F7           JNZ SHORT Domain3_.00641069
00641072  ^ E9 4FFFFFFF     JMP Domain3_.00640FC6
00641077    90              NOP

看见没两个回跳

00641077    90              NOP不能断如果断的话程序就会回跳 脱出来的也没用

00641078    8B02            MOV EAX,DWORD PTR DS:[EDX]<----------在这里断F4

00641078    8B02            MOV EAX,DWORD PTR DS:[EDX]
0064107A    83C2 04         ADD EDX,4
0064107D    8907            MOV DWORD PTR DS:[EDI],EAX
0064107F    83C7 04         ADD EDI,4
00641082    83E9 04         SUB ECX,4
00641085  ^ 77 F1           JA SHORT Domain3_.00641078
00641087    01CF            ADD EDI,ECX<----------在这里断F4

00641089  ^\E9 38FFFFFF     JMP Domain3_.00640FC6
0064108E    5E              POP ESI<----------在这里断F4

0064109D  ^\77 F7           JA SHORT Domain3_.00641096
0064109F    803F 19         CMP BYTE PTR DS:[EDI],19<----------在这里断F4

006410A2  ^\75 F2           JNZ SHORT Domain3_.00641096
006410A4    8B07            MOV EAX,DWORD PTR DS:[EDI]<----------在这里断F4

006410C0  ^\E2 D9           LOOPD SHORT Domain3_.0064109B
006410C2    8DBE 00C02300   LEA EDI,DWORD PTR DS:[ESI+23C000]<----------在这里断F4

006410C8    8B07            MOV EAX,DWORD PTR DS:[EDI]
006410CA    09C0            OR EAX,EAX
006410CC    74 3C           JE SHORT Domain3_.0064110A
006410CE    8B5F 04         MOV EBX,DWORD PTR DS:[EDI+4]
006410D1    8D8430 50652400 LEA EAX,DWORD PTR DS:[EAX+ESI+246550]
006410D8    01F3            ADD EBX,ESI
006410DA    50              PUSH EAX
006410DB    83C7 08         ADD EDI,8
006410DE    FF96 40662400   CALL DWORD PTR DS:[ESI+246640]
006410E4    95              XCHG EAX,EBP
006410E5    8A07            MOV AL,BYTE PTR DS:[EDI]
006410E7    47              INC EDI
006410E8    08C0            OR AL,AL
006410EA  ^ 74 DC           JE SHORT Domain3_.006410C8

注意:这里的向会跳是灰色的线的意思是跳转没实现所以就不用去断它

继续F8
注意:CALL 不能断
00641102  ^\EB E1           JMP SHORT Domain3_.006410E5
00641104    FF96 48662400   CALL DWORD PTR DS:[ESI+246648]

到0064110A    61              POPAD<----------在这里断F4

到这里脱壳就结束了,大家可以去查一下壳,验证一下自己的杰作~~如果是按照上面说的做,就没什么问题哒

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
何必呢

直接在最后的POPAD     下断,F9运行再F8几下就出来了
2007-7-20 19:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
UPX的壳一般都能用ESP定律搞定吧
这个不知道行不行
2007-7-21 11:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
upx用自带脱就行了
2007-7-21 15:33
0
雪    币: 197
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
自带脱就行了
2007-7-21 19:41
0
游客
登录 | 注册 方可回帖
返回
//