首页
社区
课程
招聘
[旧帖] [求助]请大家帮我看下这个UPX的壳怎么脱 0.00雪花
发表于: 2008-10-2 23:05 5296

[旧帖] [求助]请大家帮我看下这个UPX的壳怎么脱 0.00雪花

2008-10-2 23:05
5296
请大家帮我看下

运行补丁.rar

UPX-Scrambler RC1.x  [Overlay]

的壳.

我用了所有软件都脱不掉``请问有什么方法或软件可以脱的``谢谢了 告诉我下``我研究中...!

脱了传我份`!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
KeyMake生成的一个补丁程序,UPX变形壳,很好脱!
上传的附件:
2008-10-2 23:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
又是peeler老大啊``谢谢你!
2008-10-2 23:52
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
peeler大大,还没有脱完``帮我在检查下?Overlay也没有去掉 壳是未知壳了!
2008-10-2 23:54
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
完没完不是PEID说了算的 OVERLY去掉程序就没有意义了!

你所有的补丁的指令都在那个overly里面!

你想要不显示overly ,可以这个绝对不显示,其实没什么本质区别!
上传的附件:
2008-10-2 23:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
谢谢```overly是去掉了``为什么 16进制 找不到 里面的字
运行问了 有:

前几次发布的都存在很大问题。这次换一种方法,因该可以运行了

的字啊? 好象没有彻底脱壳吧??
2008-10-3 00:27
0
雪    币: 6092
活跃值: (699)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
7

呵呵程序运行都提示错误能脱就怪了
必须要保证程序能够跑起来
跳的地址根本没到OEP
在大跳转之前的POSHAD
用下ESP可以脱掉

打开OD之后
出现
0040648F > $  90                 nop
00406490   >  61                 popad
00406491   .  BE 00604000        mov esi,运行补丁.00406000

什么都不管--------中间全部跑过
004065D8   > \FF96 E8630000      call dword ptr ds:[esi+63E8]
004065DE   >  60                 pushad
004065DF   .- E9 1CAAFFFF        jmp 运行补丁.00401000--------到这里ESP
然后估计能找到OEP之前的几步
不过程序不能跑起来
这个补丁没有原文件好象不能运行的
不能运行怎么脱啊

黑鹰破解教程50课\pj13\13、程序自校验的解除方法\Hiddukel_VII 也是这个壳
不过
004065DF   .- E9 1CAAFFFF        jmp 运行补丁.00401000  在这里跳转之后就是OEP了
2008-10-3 00:41
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
没到OEP?天方夜谭。

补丁没有找到被补丁的程序当然报错,此“报错”非比“报错”。

KeyMake生成的补丁OEP就是那样的,至于楼主问的找不到补丁运行时候出现的那个

界面里面的文字,那是因为KeyMake补丁在内部构建了一个PE只有在补丁成功PACH的时候才调

用!要想改只有让补丁成功运行分离出来修改,你只传了个补丁程序是无法运行起来的!
2008-10-3 00:46
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
http://kfc-chd.ys168.com/note/fd.htm?http://ys-C.ys168.com/?Kfc.rar_4shki8d7e5bshsr0cp1biksr0cmnoqm2b5bs7bsq1bt1bu14z97f14z

这是外挂文件

这个补丁就这1个文件就是  放在外挂目录 执行就可以破解这个外挂运行``


界面里面的文字,那是因为KeyMake补丁在内部构建了一个PE只有在补丁成功PACH的时候才调

用!》请问下 怎么可以改掉?
2008-10-3 01:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
能帮我看下吗?
2008-10-3 10:24
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
昨天太晚睡觉了,试试这个演示,证实一下我上面所有的话
上传的附件:
2008-10-3 11:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
谢谢``已经懂了``!谢谢peeler大大`!还有能不能告诉我下 你是用什么程序编译他的?
2008-10-4 00:37
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
手工修改的 如果非要说用什么的话 就是OD,LoadPE,眼睛足以!

你要修改成什么样子,我可以代劳!
2008-10-4 00:41
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
谢谢了```你太神了```还有
1.rar
也是你脱的  为什么这个可以 用:PE Explorer 修改他的ICO图标
但是你现在修改好的哪个 为什么不能修改? 2个程序脱的 不一样捏``呵呵``
上传的附件:
2008-10-4 00:49
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
请问ICO修改就出错是怎么回事?
2008-10-4 01:06
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
用FixRes等修复一下资源,之前的那个没有重建PE,上面的那个重建了PE,精简了PE,所有可能出现修改的图标大于原始图标就会出错的情况
2008-10-4 08:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
peeler 大大 上了联系一下`可以QQ交流下吗? 我的QQ:1254546 谢谢`!

谢谢了
2008-10-4 10:58
0
游客
登录 | 注册 方可回帖
返回
//