[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24[http://bbs.pediy.com/showthread.php?t=62098 ]-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
zipper 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	zipper 2 楼卡巴斯基报有Worm.Win32.AutoRun.he 病毒 2008-3-24 10:42 0
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 3 楼 upxfix UPXShell 2008-3-24 13:51 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 4 楼入口 007DB68A > 60 pushad 007DB68B BE 00908B00 mov esi,8B9000 ***hr esp 按三次F9 然后F8就到了 2008-3-24 15:40 0
网络漫步雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 61 粉丝 0 关注私信	网络漫步 5 楼楼上的兄弟是不是F8下面一句用ESP定律，然后F9我照做了，可是程序运行了 007DB68B BE 00908B00 mov esi,8B9000 ***hr esp 刚才试了脱是脱掉了但是运行出错，也用ImportREC修复过了要不您给脱了放上来我对比一下哪儿出错了上传的附件：未命名.jpg （13.11kb，298次下载） 2008-3-24 15:53 0
zipper 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	zipper 6 楼为什么dump时没有响应了呢？ 2008-3-24 16:00 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 7 楼找到OEP就没脱。。用EXEINFOPE说是RLPACK 2008-3-24 19:45 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 8 楼搞定了。 ESP定律到OEP 然后dump 修复IAT 剪掉所有无效的。。不要关OD 开另外一个OD 然后忽略除了内存访问和指定以外的所有异常。 shift+f9运行在堆栈返回找到上面的一个CALL 回车进入然后应该是 00407264 - FF25 B8325E00 jmp dword ptr ds:[5E32B8] 这样的代码看注释窗口例如：ds:[005E32B8]=00DC047E (好像每台机器都不一样要么就是会变) 用LORDPE把DC0000给Dump下来补上重建一下就可以了 2008-3-24 20:19 0
网络漫步雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 61 粉丝 0 关注私信	网络漫步 9 楼唉、楼上兄弟那些无效指针修复全部就会卡掉了，你的是意思是全部剪切掉保存吗？你说再开一个OD是导入原程序还是脱掉的文件。还有后面你说得那些看得一知半解，水平太差没办法。兄弟你方便的话加我QQ：1553895请教非常感谢！不方便请把脱掉的EXE文件上传或着我的邮箱：nuwin@126.com 漫步在此再次感谢您！ 2008-3-24 22:44 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 10 楼自动查找IAT不是会有无效指针吗全部剪切掉就可以再开OD载入修复完但是不能运行的那个文件。。 2008-3-24 23:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
zipper 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	zipper 2 楼卡巴斯基报有Worm.Win32.AutoRun.he 病毒 2008-3-24 10:42 0
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 3 楼 upxfix UPXShell 2008-3-24 13:51 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 4 楼入口 007DB68A > 60 pushad 007DB68B BE 00908B00 mov esi,8B9000 ***hr esp 按三次F9 然后F8就到了 2008-3-24 15:40 0
网络漫步雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 61 粉丝 0 关注私信	网络漫步 5 楼楼上的兄弟是不是F8下面一句用ESP定律，然后F9我照做了，可是程序运行了 007DB68B BE 00908B00 mov esi,8B9000 ***hr esp 刚才试了脱是脱掉了但是运行出错，也用ImportREC修复过了要不您给脱了放上来我对比一下哪儿出错了上传的附件：未命名.jpg （13.11kb，298次下载） 2008-3-24 15:53 0
zipper 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	zipper 6 楼为什么dump时没有响应了呢？ 2008-3-24 16:00 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 7 楼找到OEP就没脱。。用EXEINFOPE说是RLPACK 2008-3-24 19:45 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 8 楼搞定了。 ESP定律到OEP 然后dump 修复IAT 剪掉所有无效的。。不要关OD 开另外一个OD 然后忽略除了内存访问和指定以外的所有异常。 shift+f9运行在堆栈返回找到上面的一个CALL 回车进入然后应该是 00407264 - FF25 B8325E00 jmp dword ptr ds:[5E32B8] 这样的代码看注释窗口例如：ds:[005E32B8]=00DC047E (好像每台机器都不一样要么就是会变) 用LORDPE把DC0000给Dump下来补上重建一下就可以了 2008-3-24 20:19 0
网络漫步雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 61 粉丝 0 关注私信	网络漫步 9 楼唉、楼上兄弟那些无效指针修复全部就会卡掉了，你的是意思是全部剪切掉保存吗？你说再开一个OD是导入原程序还是脱掉的文件。还有后面你说得那些看得一知半解，水平太差没办法。兄弟你方便的话加我QQ：1553895请教非常感谢！不方便请把脱掉的EXE文件上传或着我的邮箱：nuwin@126.com 漫步在此再次感谢您！ 2008-3-24 22:44 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 10 楼自动查找IAT不是会有无效指针吗全部剪切掉就可以再开OD载入修复完但是不能运行的那个文件。。 2008-3-24 23:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24[http://bbs.pediy.com/showthread.php?t=62098 ] 0.00雪花