[求助]UPX变形壳-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2 楼 1. upxfix 2. upx -d hxbd1.2.exe 2008-8-28 12:05 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 3 楼第一层是UPX，第二层ZProtect！上传的附件： Unpack.rar （914.06kb，25次下载） 2008-8-28 12:15 0
小猫猫雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	小猫猫 4 楼非常感谢。 2008-8-28 12:36 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 5 楼 ZProtect 虚拟保护技术吗? OH!GOD! 2008-9-24 17:28 0
噺手丄蕗雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	噺手丄蕗 6 楼很强的ZProtect，双重壳........ 2008-9-24 17:41 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 7 楼三楼大哥,可以具体说说步骤吗? 谢谢!支持peeler 支持看雪! 2008-9-24 18:40 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 8 楼这个是双重的压缩壳，不难的，连续用ESP定律就搞定了！具体的步骤： OD载入： 00436480 > 60 pushad 00436481 BE 00004200 mov esi, 00420000 00436486 8DBE 0010FEFF lea edi, dword ptr [esi+FFFE1000] 0043648C 57 push edi 0043648D 83CD FF or ebp, FFFFFFFF 00436490 EB 10 jmp short 004364A2 ..... 004365C8 FF96 E8630300 call dword ptr [esi+363E8] 004365CE 61 popad 004365CF - E9 27AEFCFF jmp 004013FB 来到： 004013FB 50 push eax 004013FC 53 push ebx 004013FD 51 push ecx 004013FE 2BC9 sub ecx, ecx 00401400 52 push edx 00401401 56 push esi 00401402 57 push edi 到这里UPX脱完了！一连的PUSH，跟PUSHAD差不多的！ 00401402 57 push edi 00401403 ^ 0F84 B3FDFFFF je 004011BC F8到这里，寄存器的信息如下： ================================= EAX 00000000 ECX 00000000 EDX 7C92EB94 ntdll.KiFastSystemCallRet EBX 7FFDF000 ESP 0012FFAC EBP 0012FFF0 ================================= 在命令行下如下命令：hr 12ffac 再 shift+F9 来到这里： 00401272 5F pop edi 00401273 5E pop esi 00401274 5A pop edx 00401275 59 pop ecx 00401276 5B pop ebx 00401277 58 pop eax 00401278 ^ E9 E3FEFFFF jmp 00401160 。。。 00401160 /E9 EC2A0000 jmp 00403C51 00401165 \|C9 leave 。。。这里就到OEP了！ 00403C51 55 push ebp 00403C52 8BEC mov ebp, esp 00403C54 6A FF push -1 00403C56 68 F0724000 push 004072F0 00403C5B 68 C4504000 push 004050C4 00403C60 64:A1 00000000 mov eax, dword ptr fs:[0] IAT的修复就不说了！ ====================下面是附加数据的处理！==================== 用PE编辑器查看区段信息！最后一个区段的Roffset跟RSize相加得到：16A00H+600H = 17000H 用HEX编辑器打开原来未脱壳的文件！来到17000H处： Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00016FE0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00016FF0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00017000 A5 B7 9A 82 04 00 00 00 A3 7C E3 0C 71 EC 32 A0 シ殏....?q?? 00017010 5B 93 1B A3 04 7F E0 DE F5 B8 9F 64 8A 93 54 C7 [??噢醺焏姄T 看到一堆的0数据跟附加数据的分割处：0x00017000 在这里开始到文件末，全部以HEX格式复制下来！再用HEX编辑器打开刚才脱壳完并修复过IAT的文件，来到文件末，粘贴，保存！到这里，附加数据就处理完了！上传的附件： dumped_.rar （921.77kb，8次下载） 2008-9-24 22:13 0
望花煮雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	望花煮 9 楼我脱的跟楼上的不一样我先用ESP定律然后单步走没走几步就到OEP了 00403C51 55 push ebp 00403C52 8BEC mov ebp, esp 00403C54 6A FF push -1 00403C56 68 F0724000 push 004072F0 00403C5B 68 C4504000 push 004050C4 00403C60 64:A1 00000000 mov eax, dword ptr fs:[0] 00403C66 50 push eax 00403C67 64:8925 0000000>mov dword ptr fs:[0], esp 00403C6E 83EC 58 sub esp, 58 00403C71 53 push ebx IAT修复之后依然出错提示 Invalid data in the file? 不知道是为什么？ 2008-9-25 00:02 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 10 楼附加数据处理上即可,现在拿ZP的demo版加,还不如不加的好! 2008-9-25 06:58 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 11 楼 Invalid data in the file 数据无效,如何弄, 1.用PELORD 中的Rebuild PE,无效 2.用花指令去除器,无效 3.用附加数据去处器,无效难道是,文件中的什么东西需要手动修复,还是文件有自检模块. oh!god!help!send help! 再次谢谢!感谢美丽破船 peeler kanxue 2008-9-25 08:21 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 12 楼就是处理一下附加数据就可以了！具体的方法我帖出来了，希望对你有所帮助！ 2008-9-25 08:49 0
望花煮雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	望花煮 13 楼附加数据已经处理了用的是工具不知道怎么手动处理 2008-9-25 13:02 0
望花煮雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	望花煮 14 楼不好意思刚才没有仔细看现在终于明白怎么修复了 2008-9-25 13:07 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 15 楼非常感谢美丽破船！已经学会了！支持看雪！ 2008-9-26 14:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sessiondiy

雪币： 2067

活跃值： (82)

能力值：

( LV9，RANK：180 )

在线值：

发帖

37

回帖

3244

粉丝

6

关注

私信

sessiondiy 4: 2 楼

1. upxfix
2. upx -d hxbd1.2.exe

2008-8-28 12:05

0

peeler

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

578

粉丝

0

关注

私信

peeler: 3 楼

第一层是UPX，第二层ZProtect！

上传的附件：

Unpack.rar （914.06kb，25次下载）

2008-8-28 12:15

0

小猫猫

雪币： 207

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

8

回帖

21

粉丝

0

关注

私信

小猫猫: 4 楼

非常感谢。

2008-8-28 12:36

0

cuuby

雪币： 199

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

90

粉丝

0

关注

私信

cuuby: 5 楼

ZProtect
虚拟保护技术吗?

OH!GOD!

2008-9-24 17:28

0

噺手丄蕗

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

28

粉丝

0

关注

私信

噺手丄蕗: 6 楼

很强的ZProtect，双重壳........

2008-9-24 17:41

0

cuuby

雪币： 199

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

90

粉丝

0

关注

私信

cuuby: 7 楼

三楼大哥,可以具体说说步骤吗?

谢谢!支持peeler 支持看雪!

2008-9-24 18:40

0

美丽破船

雪币： 65

活跃值： (811)

能力值：

( LV12，RANK：210 )

在线值：

发帖

40

回帖

395

粉丝

7

关注

私信

美丽破船 5: 8 楼

这个是双重的压缩壳，不难的，连续用ESP定律就搞定了！
具体的步骤：
OD载入：

00436480 >  60              pushad
00436481    BE 00004200     mov     esi, 00420000
00436486    8DBE 0010FEFF   lea     edi, dword ptr [esi+FFFE1000]
0043648C    57              push    edi
0043648D    83CD FF         or      ebp, FFFFFFFF
00436490    EB 10           jmp     short 004364A2

.....
004365C8    FF96 E8630300   call    dword ptr [esi+363E8]
004365CE    61              popad
004365CF  - E9 27AEFCFF     jmp     004013FB

来到：

004013FB    50              push    eax
004013FC    53              push    ebx
004013FD    51              push    ecx
004013FE    2BC9            sub     ecx, ecx
00401400    52              push    edx
00401401    56              push    esi
00401402    57              push    edi

到这里UPX脱完了！

一连的PUSH，跟PUSHAD差不多的！

00401402    57              push    edi
00401403  ^ 0F84 B3FDFFFF   je      004011BC

F8到这里，寄存器的信息如下：

=================================
EAX 00000000
ECX 00000000
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDF000
ESP 0012FFAC
EBP 0012FFF0
=================================

在命令行下如下命令：hr 12ffac 再 shift+F9
来到这里：

00401272    5F              pop     edi
00401273    5E              pop     esi
00401274    5A              pop     edx
00401275    59              pop     ecx
00401276    5B              pop     ebx
00401277    58              pop     eax
00401278  ^ E9 E3FEFFFF     jmp     00401160
。。。
00401160   /E9 EC2A0000     jmp     00403C51
00401165   |C9              leave

。。。
这里就到OEP了！

00403C51    55              push    ebp
00403C52    8BEC            mov     ebp, esp
00403C54    6A FF           push    -1
00403C56    68 F0724000     push    004072F0
00403C5B    68 C4504000     push    004050C4
00403C60    64:A1 00000000  mov     eax, dword ptr fs:[0]

IAT的修复就不说了！
====================下面是附加数据的处理！====================
用PE编辑器查看区段信息！
最后一个区段的Roffset跟RSize相加得到：16A00H+600H = 17000H
用HEX编辑器打开原来未脱壳的文件！来到17000H处：

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00016FE0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00016FF0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00017000   A5 B7 9A 82 04 00 00 00  A3 7C E3 0C 71 EC 32 A0   シ殏....?q??
00017010   5B 93 1B A3 04 7F E0 DE  F5 B8 9F 64 8A 93 54 C7   [??噢醺焏姄T

看到一堆的0数据跟附加数据的分割处：0x00017000
在这里开始到文件末，全部以HEX格式复制下来！
再用HEX编辑器打开刚才脱壳完并修复过IAT的文件，来到文件末，粘贴，保存！
到这里，附加数据就处理完了！

上传的附件：

dumped_.rar （921.77kb，8次下载）

2008-9-24 22:13

0

望花煮

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

27

粉丝

0

关注

私信

望花煮: 9 楼

我脱的跟楼上的不一样我先用ESP定律  然后单步走  没走几步就到OEP了
00403C51 55             push ebp
00403C52 8BEC          mov    ebp, esp
00403C54 6A FF          push -1
00403C56 68 F0724000    push 004072F0
00403C5B 68 C4504000    push 004050C4
00403C60 64:A1 00000000  mov    eax, dword ptr fs:[0]
00403C66 50             push eax
00403C67 64:8925 0000000>mov    dword ptr fs:[0], esp
00403C6E 83EC 58       sub    esp, 58
00403C71 53             push ebx
IAT修复之后依然出错提示  Invalid data in the file?
不知道是为什么？

2008-9-25 00:02

0

范范love

雪币： 317

活跃值： (93)

能力值：

( LV9，RANK：140 )

在线值：

发帖

23

回帖

1008

粉丝

3

关注

私信

范范love 3: 10 楼

附加数据处理上即可,现在拿ZP的demo版加,还不如不加的好!

2008-9-25 06:58

0

cuuby

雪币： 199

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

90

粉丝

0

关注

私信

cuuby: 11 楼

Invalid data in the file

数据无效,如何弄,

1.用PELORD 中的Rebuild PE,无效

2.用花指令去除器,无效

3.用附加数据去处器,无效

难道是,文件中的什么东西需要手动修复,还是文件有自检模块.

oh!god!help!send help!

再次谢谢!感谢美丽破船 peeler kanxue

2008-9-25 08:21

0