:(

晕，当然是毒啦，都说了是一个黑客后门程序嘛，就是想脱壳，再加壳，让杀毒软件查不出来嘛

UPX自己手动脱壳
不难的
后门程序一般大家不愿意玩  :o

0040D579    55                   push    ebp                                       ; WS2_32.#382
0040D57A    8BEC                 mov     ebp, esp
0040D57C    6A FF                push    -1
0040D57E    68 80A44100          push    NTROOTKI.0041A480
0040D583    68 A0BB4000          push    NTROOTKI.0040BBA0
0040D588    64:A1 00000000       mov     eax, dword ptr fs:[0]
0040D58E    50                   push    eax
0040D58F    64:8925 00000000     mov     dword ptr fs:[0], esp
0040D596    83EC 10              sub     esp, 10
0040D599    53                   push    ebx                                       ; NTROOTKI.0041A294

应该是入口点吧?我没有仔细往下走

我用OD的脱壳插件(用1,2方式,没有用RECimport修复,可能不能执行)脱出来的和loadPE  dump出来以后用RECimport修复的,总共3个,你自己看吧,哪个能用?我是不敢执行~~~(脱壳整个步骤用了45″)

附件:NTROOTKIT.rar

我昨天第一次来这个论坛，抱着试一试的心里发了这个贴子，因为我以前在黑鹰和华夏这些论坛论坛都发过，可是没有人理我，可能是因为太基础了，呵呵。早上起来，也是抱着试一试的心理看看有没有人回，哇，没有想到有这么热心的回复，我太高兴了，谢谢大家，谢谢
6楼的，我下了你脱的，第三个能用，谢谢了
4楼和5楼的老兄，我会照你们说的试一下，谢谢 了

寒~~~~

最初由 星辰月 发布
我用FI查出来是用UPX v0.94-1.90 (»PE) 加的壳，但我试了好几个自动脱壳机都脱不了，我是一个菜鸟，有谁能教教我怎么脱吗，谢谢了附件:NTROOTKIT.rar
上面是源文件，希望哪位老兄能帮我一下

下次后门等程序不要传了，服务器上刚装病毒软件，全自动清除的。