[求助]高手进来看看这个壳怎么回事啊！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]高手进来看看这个壳怎么回事啊！ 0.00雪花

发表于: 2007-7-22 17:15 3831

[旧帖] [求助]高手进来看看这个壳怎么回事啊！ 0.00雪花

feixiang

2007-7-22 17:15

3831

脱壳前用PEID看是UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
脱壳后是Borland C++ 1999 能正常运行。但用OD加载时提示入口点超出代码范围（在PE文件头中指定）！
进入后开始的代码如下：

00401000 > /EB 10          JMP SHORT 1_.00401012
00401002 |66:623A       BOUND DI,DWORD PTR DS:[EDX]
00401005 |43             INC EBX
00401006 |2B2B          SUB EBP,DWORD PTR DS:[EBX]
00401008 |48             DEC EAX
00401009 |4F             DEC EDI
0040100A |4F             DEC EDI
0040100B |4B             DEC EBX
0040100C |90             NOP
0040100D  -|E9 F4A64D00    JMP 008DB706
00401012 \A1 E7A64D00    MOV EAX,DWORD PTR DS:[4DA6E7]
00401017 C1E0 02       SHL EAX,2
0040101A A3 EBA64D00    MOV DWORD PTR DS:[4DA6EB],EAX
0040101F 52             PUSH EDX
00401020 6A 00          PUSH 0
00401022 E8 8B850D00    CALL <JMP.&kernel32.GetModuleHandleA>
00401027 8BD0          MOV EDX,EAX
00401029 E8 86790C00    CALL 1_.004C89B4
0040102E 5A             POP EDX
0040102F E8 E4780C00    CALL 1_.004C8918
00401034 E8 BB790C00    CALL 1_.004C89F4
00401039 6A 00          PUSH 0
0040103B E8 C8AA0C00    CALL 1_.004CBB08
00401040 59             POP ECX
00401041 68 90A64D00    PUSH 1_.004DA690
00401046 6A 00          PUSH 0
00401048 E8 65850D00    CALL <JMP.&kernel32.GetModuleHandleA>
0040104D A3 EFA64D00    MOV DWORD PTR DS:[4DA6EF],EAX
00401052 6A 00          PUSH 0
00401054  - E9 93360D00    JMP 1_.004D46EC
00401059 >  E9 F6AA0C00    JMP 1_.004CBB54
0040105E 33C0          XOR EAX,EAX
00401060 A0 D9A64D00    MOV AL,BYTE PTR DS:[4DA6D9]
00401065 C3             RETN
00401066 A1 EFA64D00    MOV EAX,DWORD PTR DS:[4DA6EF]
0040106B C3             RETN
0040106C 60             PUSHAD
0040106D BB 0050B0BC    MOV EBX,BCB05000
00401072 53             PUSH EBX
00401073 68 AD0B0000    PUSH 0BAD
00401078 C3             RETN
00401079 B9 B4000000    MOV ECX,0B4
0040107E 0BC9          OR ECX,ECX
00401080 74 4D          JE SHORT 1_.004010CF
00401082 833D E7A64D00 0>CMP DWORD PTR DS:[4DA6E7],0
00401089 73 0A          JNB SHORT 1_.00401095
0040108B B8 FE000000    MOV EAX,0FE
00401090 E8 D7FFFFFF    CALL 1_.0040106C
00401095 B9 B4000000    MOV ECX,0B4
0040109A 51             PUSH ECX
0040109B 6A 08          PUSH 8
0040109D E8 28850D00    CALL <JMP.&kernel32.GetProcessHeap>
004010A2 50             PUSH EAX
004010A3 E8 B8850D00    CALL <JMP.&kernel32.HeapAlloc>
004010A8 0BC0          OR EAX,EAX
004010AA 75 0A          JNZ SHORT 1_.004010B6
004010AC B8 FD000000    MOV EAX,0FD
004010B1 E8 B6FFFFFF    CALL 1_.0040106C
.......................................

请高手说下是怎么回事啊，该怎么办？
谢谢了！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (2)
hunle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	hunle 2 楼看不明白顶到高手出现 2007-7-22 18:44 0
新手向导雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	新手向导 3 楼 UPX的壳很简单加载以后选不要继续分析，CTRL+F找POPAD，POPAD的下面几行有个JMP，F2断点一下， F9运行到断点，F7跟入，脱了就OK了 --------------------------------- 脱完壳了以后就没事了，不用在意提示 2007-7-22 18:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

feixiang

发帖

回帖

RANK

关注

私信

他的文章

[求助]高手进来看看这个壳怎么回事啊！ 3832

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
hunle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	hunle 2 楼看不明白顶到高手出现 2007-7-22 18:44 0
新手向导雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	新手向导 3 楼 UPX的壳很简单加载以后选不要继续分析，CTRL+F找POPAD，POPAD的下面几行有个JMP，F2断点一下， F9运行到断点，F7跟入，脱了就OK了 --------------------------------- 脱完壳了以后就没事了，不用在意提示 2007-7-22 18:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复