[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo脱壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
dlina 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	dlina 2 楼用OD手动脱,很快的,试验下. 2008-3-15 16:40 0
血之吻雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	血之吻 3 楼能说一下具体步骤嘛??我试过在手动脱了之后程序都变形了(图标消失)而且壳还是没脱掉~~~~ 我是个菜鸟~~还望支教..... 2008-3-15 16:43 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 4 楼 1.UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 对Delphi程序加的UPX0.89的壳手脱基本是向上跳的不能让它向上跳,按F4下去,最后有个大回跳(一般是JMP),就到OEP了 0046AD4B 83C3 04 add ebx,4 0046AD4E ^ EB E1 jmp short UPX_0_89.0046AD31 0046AD50 FF96 64AA0600 call dword ptr ds:[esi+6AA64] 0046AD56 61 popad 0046AD57 ^ E9 98CBFEFF jmp UPX_0_89.004578F4 //过了此句就到OEP了返回后来到这里是第一句 004578F4 > /55 push ebp 004578F5 . \|8BEC mov ebp,esp 004578F7 . \|83C4 F4 add esp,-0C 004578FA . \|B8 AC774500 mov eax,UPX_0_89.004577AC 看入口语言特征,判断为Delphi语言代码. 当然用ESP定律更快到OEP (在ESP和EIP同时为红色时->在数据窗口跟随->断点->设置硬件访问断点->Word,F9运行到JMP) 2008-3-15 17:03 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 5 楼 http://bbs.pediy.com/showthread.php?p=425699#post425699 2008-3-15 17:04 0
Creamymami 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	Creamymami 6 楼请问下4楼的GG .. 你是怎么看那个OEP的?? 2008-4-30 11:03 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 7 楼你用ESP定律简单又方便 2008-4-30 11:35 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 8 楼我晕啦 upx手动比脱壳机好用多啦 2008-4-30 19:53 0
孤居野狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	孤居野狼 9 楼这种壳受托也很快啊 2008-4-30 21:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
dlina 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	dlina 2 楼用OD手动脱,很快的,试验下. 2008-3-15 16:40 0
血之吻雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	血之吻 3 楼能说一下具体步骤嘛??我试过在手动脱了之后程序都变形了(图标消失)而且壳还是没脱掉~~~~ 我是个菜鸟~~还望支教..... 2008-3-15 16:43 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 4 楼 1.UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 对Delphi程序加的UPX0.89的壳手脱基本是向上跳的不能让它向上跳,按F4下去,最后有个大回跳(一般是JMP),就到OEP了 0046AD4B 83C3 04 add ebx,4 0046AD4E ^ EB E1 jmp short UPX_0_89.0046AD31 0046AD50 FF96 64AA0600 call dword ptr ds:[esi+6AA64] 0046AD56 61 popad 0046AD57 ^ E9 98CBFEFF jmp UPX_0_89.004578F4 //过了此句就到OEP了返回后来到这里是第一句 004578F4 > /55 push ebp 004578F5 . \|8BEC mov ebp,esp 004578F7 . \|83C4 F4 add esp,-0C 004578FA . \|B8 AC774500 mov eax,UPX_0_89.004577AC 看入口语言特征,判断为Delphi语言代码. 当然用ESP定律更快到OEP (在ESP和EIP同时为红色时->在数据窗口跟随->断点->设置硬件访问断点->Word,F9运行到JMP) 2008-3-15 17:03 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 5 楼 http://bbs.pediy.com/showthread.php?p=425699#post425699 2008-3-15 17:04 0
Creamymami 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	Creamymami 6 楼请问下4楼的GG .. 你是怎么看那个OEP的?? 2008-4-30 11:03 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 7 楼你用ESP定律简单又方便 2008-4-30 11:35 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 8 楼我晕啦 upx手动比脱壳机好用多啦 2008-4-30 19:53 0
孤居野狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	孤居野狼 9 楼这种壳受托也很快啊 2008-4-30 21:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo脱壳 0.00雪花