[Game]一个小小的UnPackME，高手飞过~~-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[Game]一个小小的UnPackME，高手飞过~~

发表于: 2008-8-1 16:50 11540

[Game]一个小小的UnPackME，高手飞过~~

yangjt

2008-8-1 16:50

11540

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

001.rar （1.58kb，172次下载）

收藏・4

免费・7

支持

最新回复 (30) 1 2 ▶
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 2 楼 outputdebugstring......................... 上传的附件： dumped_.rar （1.73kb，19次下载） 2008-8-1 17:08 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 3 楼 yes... Good Job!! 2008-8-1 20:27 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼 nod32报毒 2008-8-1 20:36 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 5 楼可能是应为壳……不过核心代码就一句嘛 MessageBox(NULL,"This is a test program,please unpack it...","UnPackMe",MB_OKCANCEL\|MB_ICONINFORMATION); kaspersky没动静…… Only Game……想玩得话添加信任区域咯~~ 2008-8-1 20:39 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼 hying的超级旧版修改壳 2008-8-1 20:45 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 7 楼哇……这都看的出……厉害…… 2008-8-1 21:58 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 8 楼那一票是玩壳的 2008-8-1 23:29 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 9 楼其实LZ意思是把高手一并归纳成菜鸟。 2008-8-2 08:19 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 10 楼额……没有那个意思的…… 2008-8-2 11:06 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 11 楼好难，膜拜 2008-8-2 11:17 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 12 楼好久没脱壳了，难的脱不动，先拿这个出出气，呵呵． 003802AA 64:8F05 0000000>pop dword ptr fs:[0] ; 0012FFE0 003802B1 83C4 04 add esp, 4 003802B4 85C0 test eax, eax 003802B6 74 19 je short 003802D1 003802B8 EB 35 jmp short 003802EF 003802BA 8B4424 0C mov eax, dword ptr [esp+C] 003802BE C780 B0000000 F>mov dword ptr [eax+B0], -1 003802C8 FF80 B8000000 inc dword ptr [eax+B8] 003802CE 33C0 xor eax, eax 003802D0 C3 retn 003802F9 /78 0F js short 0038030A 003802FB \|8B40 0C mov eax, dword ptr [eax+C] 003802FE \|8B40 0C mov eax, dword ptr [eax+C] 00380301 \|C740 20 0010000>mov dword ptr [eax+20], 1000 00380308 \|EB 1C jmp short 00380326 0038030A \6A 00 push 0 0038030C FF95 FE030000 call dword ptr [ebp+3FE] 00380312 85D2 test edx, edx 00380314 79 10 jns short 00380326 00380316 837A 08 FF cmp dword ptr [edx+8], -1 0038031A 75 0A jnz short 00380326 0038031C 8B52 04 mov edx, dword ptr [edx+4] 0038031F C742 50 0010000>mov dword ptr [edx+50], 1000 00380326 FF85 16040000 inc dword ptr [ebp+416] 0038032C 8B85 42030000 mov eax, dword ptr [ebp+342] 00380332 8B8D 0E040000 mov ecx, dword ptr [ebp+40E] 00380338 8D0408 lea eax, dword ptr [eax+ecx] 0038033B 894424 1C mov dword ptr [esp+1C], eax 0038033F 61 popad 00380340 50 push eax 00380341 C3 retn 上传的附件： unpack001.rar （1.71kb，10次下载） 2008-8-2 17:41 0
poer狂人雪币： 0 能力值： (RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	poer狂人 13 楼大爷我按倒你不日哦，技术不错嘛 2008-8-2 17:43 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 14 楼所见不多, 目前这个壳最强 2008-8-2 17:52 0
君君寒雪币： 6092 活跃值： (744) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 15 楼不难的能秒的呵呵上传的附件： unpacked.rar （1.81kb，9次下载） 2008-8-5 16:49 0
maokecheng 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 65 粉丝 0 关注私信	maokecheng 16 楼刚开始是一个伪装VC++，过去之后会有一个 pushad 然后call，直接用ESP定律，秒脱，，，，，，只是dump修复的时候有问题，我老是脱不成功，后来用了OD的dump，没有Rebuid Importance,再用ImportREC修复，成功了？ 2008-8-6 00:09 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 17 楼看来还要加强Anti-debugger，下一版本准备加入Attact debugger代码…… 2008-8-6 07:51 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 18 楼呵呵。的确有工具能秒 00401000 . 6A 41 push 41 ; /Style = MB_OKCANCEL\|MB_ICONASTERISK\|MB_APPLMODAL 00401002 . 68 2C304000 push 001.0040302C ; \|Title = "UnPackMe" 00401007 . 68 00304000 push 001.00403000 ; \|Text = "This is a test program,please unpack it..." 0040100C . 6A 00 push 0 ; \|hOwner = NULL 0040100E . FF15 08204000 call dword ptr ds:[402008] ; \MessageBoxA 00401014 . 6A 00 push 0 ; /ExitCode = 0 00401016 . FF15 00204000 call dword ptr ds:[402000] ; \ExitProcess 0040101C . C3 ret 2008-8-31 14:10 0
水月雪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	水月雪 19 楼參拜高手，太難了 2008-9-2 22:43 0
waimn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	waimn 20 楼飘过 2008-9-3 10:42 0
johnroot 雪币： 227 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 27 粉丝 1 关注私信	johnroot 1 21 楼 00401000 . 6A 41 68 2C 30 40 00 ASCII "jAh,0@",0 00401007 . 68 00304000 PUSH 001.00403000 ; \|Text = "This is a test program,please unpack it..." 0040100C . 6A 00 PUSH 0 ; \|hOwner = NULL 0040100E . FF15 08204000 CALL DWORD PTR DS:[402008] ; \MessageBoxA 00401014 . 6A 00 PUSH 0 ; /ExitCode = 0 00401016 . FF15 00204000 CALL DWORD PTR DS:[402000] ; \ExitProcess 0040101C . C3 RETN 2008-9-3 19:33 0
civil 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	civil 22 楼佩服啊！这个都可以看出来 2008-9-5 22:45 0
homily 雪币： 227 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 37 粉丝 1 关注私信	homily 23 楼 hr 12ffc0 esp定律遵循加壳退壳堆浅平衡 2008-9-7 14:27 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 24 楼那个叫堆栈还有……如果你想用ESP定律……建议你去看看我那个最近改版的UnpackMe……保证你可以发现不用平衡堆栈程序也是可以运行的…… 地址： http://bbs.pediy.com/showthread.php?t=71392 2008-9-7 20:56 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 25 楼我也脱了一份,嘿嘿! 上传的附件： unpack.rar （1.71kb，3次下载） 2008-10-3 12:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yangjt

发帖

459

回帖

441

RANK

关注

私信

他的文章

[原创]动手给音速启动加点动力、 15746
[原创]lpk类病毒分析 31537
[原创]css.exe逆向分析 7832
[原创]Worm.Parite.Residented 详细分析+专杀工具src 11238
[原创]BuildVersion V1.0 CrAcKeD 3583

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 2 楼 outputdebugstring......................... 上传的附件： dumped_.rar （1.73kb，19次下载） 2008-8-1 17:08 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 3 楼 yes... Good Job!! 2008-8-1 20:27 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼 nod32报毒 2008-8-1 20:36 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 5 楼可能是应为壳……不过核心代码就一句嘛 MessageBox(NULL,"This is a test program,please unpack it...","UnPackMe",MB_OKCANCEL\|MB_ICONINFORMATION); kaspersky没动静…… Only Game……想玩得话添加信任区域咯~~ 2008-8-1 20:39 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼 hying的超级旧版修改壳 2008-8-1 20:45 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 7 楼哇……这都看的出……厉害…… 2008-8-1 21:58 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 8 楼那一票是玩壳的 2008-8-1 23:29 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 9 楼其实LZ意思是把高手一并归纳成菜鸟。 2008-8-2 08:19 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 10 楼额……没有那个意思的…… 2008-8-2 11:06 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 11 楼好难，膜拜 2008-8-2 11:17 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 12 楼好久没脱壳了，难的脱不动，先拿这个出出气，呵呵． 003802AA 64:8F05 0000000>pop dword ptr fs:[0] ; 0012FFE0 003802B1 83C4 04 add esp, 4 003802B4 85C0 test eax, eax 003802B6 74 19 je short 003802D1 003802B8 EB 35 jmp short 003802EF 003802BA 8B4424 0C mov eax, dword ptr [esp+C] 003802BE C780 B0000000 F>mov dword ptr [eax+B0], -1 003802C8 FF80 B8000000 inc dword ptr [eax+B8] 003802CE 33C0 xor eax, eax 003802D0 C3 retn 003802F9 /78 0F js short 0038030A 003802FB \|8B40 0C mov eax, dword ptr [eax+C] 003802FE \|8B40 0C mov eax, dword ptr [eax+C] 00380301 \|C740 20 0010000>mov dword ptr [eax+20], 1000 00380308 \|EB 1C jmp short 00380326 0038030A \6A 00 push 0 0038030C FF95 FE030000 call dword ptr [ebp+3FE] 00380312 85D2 test edx, edx 00380314 79 10 jns short 00380326 00380316 837A 08 FF cmp dword ptr [edx+8], -1 0038031A 75 0A jnz short 00380326 0038031C 8B52 04 mov edx, dword ptr [edx+4] 0038031F C742 50 0010000>mov dword ptr [edx+50], 1000 00380326 FF85 16040000 inc dword ptr [ebp+416] 0038032C 8B85 42030000 mov eax, dword ptr [ebp+342] 00380332 8B8D 0E040000 mov ecx, dword ptr [ebp+40E] 00380338 8D0408 lea eax, dword ptr [eax+ecx] 0038033B 894424 1C mov dword ptr [esp+1C], eax 0038033F 61 popad 00380340 50 push eax 00380341 C3 retn 上传的附件： unpack001.rar （1.71kb，10次下载） 2008-8-2 17:41 0
poer狂人雪币： 0 能力值： (RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	poer狂人 13 楼大爷我按倒你不日哦，技术不错嘛 2008-8-2 17:43 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 14 楼所见不多, 目前这个壳最强 2008-8-2 17:52 0
君君寒雪币： 6092 活跃值： (744) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 15 楼不难的能秒的呵呵上传的附件： unpacked.rar （1.81kb，9次下载） 2008-8-5 16:49 0
maokecheng 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 65 粉丝 0 关注私信	maokecheng 16 楼刚开始是一个伪装VC++，过去之后会有一个 pushad 然后call，直接用ESP定律，秒脱，，，，，，只是dump修复的时候有问题，我老是脱不成功，后来用了OD的dump，没有Rebuid Importance,再用ImportREC修复，成功了？ 2008-8-6 00:09 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 17 楼看来还要加强Anti-debugger，下一版本准备加入Attact debugger代码…… 2008-8-6 07:51 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 18 楼呵呵。的确有工具能秒 00401000 . 6A 41 push 41 ; /Style = MB_OKCANCEL\|MB_ICONASTERISK\|MB_APPLMODAL 00401002 . 68 2C304000 push 001.0040302C ; \|Title = "UnPackMe" 00401007 . 68 00304000 push 001.00403000 ; \|Text = "This is a test program,please unpack it..." 0040100C . 6A 00 push 0 ; \|hOwner = NULL 0040100E . FF15 08204000 call dword ptr ds:[402008] ; \MessageBoxA 00401014 . 6A 00 push 0 ; /ExitCode = 0 00401016 . FF15 00204000 call dword ptr ds:[402000] ; \ExitProcess 0040101C . C3 ret 2008-8-31 14:10 0
水月雪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	水月雪 19 楼參拜高手，太難了 2008-9-2 22:43 0
waimn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	waimn 20 楼飘过 2008-9-3 10:42 0
johnroot 雪币： 227 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 27 粉丝 1 关注私信	johnroot 1 21 楼 00401000 . 6A 41 68 2C 30 40 00 ASCII "jAh,0@",0 00401007 . 68 00304000 PUSH 001.00403000 ; \|Text = "This is a test program,please unpack it..." 0040100C . 6A 00 PUSH 0 ; \|hOwner = NULL 0040100E . FF15 08204000 CALL DWORD PTR DS:[402008] ; \MessageBoxA 00401014 . 6A 00 PUSH 0 ; /ExitCode = 0 00401016 . FF15 00204000 CALL DWORD PTR DS:[402000] ; \ExitProcess 0040101C . C3 RETN 2008-9-3 19:33 0
civil 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	civil 22 楼佩服啊！这个都可以看出来 2008-9-5 22:45 0
homily 雪币： 227 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 37 粉丝 1 关注私信	homily 23 楼 hr 12ffc0 esp定律遵循加壳退壳堆浅平衡 2008-9-7 14:27 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 24 楼那个叫堆栈还有……如果你想用ESP定律……建议你去看看我那个最近改版的UnpackMe……保证你可以发现不用平衡堆栈程序也是可以运行的…… 地址： http://bbs.pediy.com/showthread.php?t=71392 2008-9-7 20:56 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 25 楼我也脱了一份,嘿嘿! 上传的附件： unpack.rar （1.71kb，3次下载） 2008-10-3 12:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复