[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]变异壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]变异壳 0.00雪花

发表于: 2008-10-15 07:20 12481

[旧帖] [求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]变异壳 0.00雪花

神爱写

2008-10-15 07:20

12481

今天上网下了一个教程结果没注意是RAR自截压文件,直接点了,教程是可以看了但是顺便中了这个插件好家伙一下子下了一大堆东西!
好在没什么事,用360把那些垃圾都清除了,打开这个插件想试着脱壳,结果搞了半天都不行

由于我比较菜希望有能力的大鸟帮忙脱壳

不要说我没搜索我在百度、看雪本论坛查阅了所有资料,还是没办法解决,ESP定律、upx.exe -d 、脱壳机都不行手脱貌似是脱了但又感觉没脱闹不清楚,出口点总感觉不对,但是脱完后显示的是VB编写的,脱后不能运行或弹出提示框,修复附加数据照网上的资料做还是不行 ,实在没办法求助!
程序:广告插件没有病毒特征
下载地址:http://www.live-share.com/files/357315/UPX_________.rar.html(需等待十秒才可下载)
脱壳目的:寻找后门,找出病根.
用PEID查了显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (50) 1 2 3 ▶
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 2 楼 Microsoft Visual Basic 5.0 / 6.0 上传的附件： UnPackED.rar （55.02kb，88次下载） 2008-10-15 12:15 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 3 楼你的这个不行我自己脱也是跟你一样不能运行会弹出一个窗口 2008-10-15 12:46 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 4 楼在线等......................... 2008-10-15 17:52 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 5 楼在线等......................... 在线等......................... 在线等......................... 在线等......................... 在线等......................... 2008-10-16 01:13 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 6 楼程序有大小效验!自己排除下就可以啦 2008-10-16 02:56 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 7 楼说说谁都会具体怎么做了我很菜啊会的话就不用在这问了 2008-10-16 03:06 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 8 楼 aaaaaaaa 2008-10-17 11:37 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 9 楼报毒了,Trojan.DL.Win32.Mnless.bfu 怎么处理?? 2008-10-17 15:54 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 10 楼把校验NOP了. 斑竹,可以看下. 我是新人,也许是错的哦! 上传的附件： dumped_2.rar （54.72kb，15次下载） 2008-10-17 16:11 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 11 楼病毒吗？怕怕哦！ 2008-10-17 16:42 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 12 楼 Trojan.DL.Win32.Mnless.bfu 从病毒名字上看,是下载型的病毒或者恶意软件. 我调试时,拔了网线, 调试完了,杀了内存. 呵呵! 2008-10-17 16:50 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 13 楼强，呵呵。 2008-10-17 17:16 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 14 楼程序的校验在3处以上，只修复某一处是无关痛痒的我已经修改了3处，但是还没跑起来因为没修复一次都要放到虚拟机里论证，所以太麻烦此程序比较邪恶，大家调试的时候要小心。 2008-10-17 21:08 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 15 楼高手希望等你修复好了发出来最好写上修复过程就好了顺便学习下 2008-10-18 00:38 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 16 楼是错了经测试不行 2008-10-18 01:06 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 17 楼比较邪恶？是做什么的程序？ 2008-10-18 01:06 0
hyhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	hyhack 18 楼脱壳部分 004397F0 > 60 pushad 004397F1 BE 00E04200 mov esi, 0042E000 004397F6 8DBE 0030FDFF lea edi, [esi+FFFD3000] 004397FC 57 push edi 004397FD 83CD FF or ebp, FFFFFFFF 00439800 EB 10 jmp short 00439812 00439802 90 nop 00439803 90 nop 00439804 90 nop 00439805 90 nop 00439806 90 nop 00439807 90 nop 00439808 8A06 mov al, [esi] 0043980A 46 inc esi 0043980B 8807 mov [edi], al 0043980D 47 inc edi 0043980E 01DB add ebx, ebx 00439810 75 07 jnz short 00439819 00439812 8B1E mov ebx, [esi] 00439814 83EE FC sub esi, -4 00439817 11DB adc ebx, ebx 00439819 ^ 72 ED jb short 00439808 0043981B B8 01000000 mov eax, 1 在此处F4 00439820 01DB add ebx, ebx 00439822 75 07 jnz short 0043982B 00439824 8B1E mov ebx, [esi] 往下一直F8 ，F4打断向上的跳转，直到此处 0043989B /76 0F jbe short 004398AC 0043989D \|8A02 mov al, [edx] 0043989F \|42 inc edx 004398A0 \|8807 mov [edi], al 004398A2 \|47 inc edi 004398A3 \|49 dec ecx 004398A4 ^\|75 F7 jnz short 0043989D 向上的跳转 004398A6 ^\|E9 63FFFFFF jmp 0043980E 向上的跳转 004398AB \|90 nop 此处不能用F4 004398AC \8B02 mov eax, [edx] 004398AE 83C2 04 add edx, 4 004398B1 8907 mov [edi], eax 004398B3 83C7 04 add edi, 4 004398B6 83E9 04 sub ecx, 4 004398B9 ^ 77 F1 ja short 004398AC 004398BB 01CF add edi, ecx 004398BD ^ E9 4CFFFFFF jmp 0043980E 需要在这一行 0043989B /76 0F jbe short 004398AC 右键跟随 F2 F9 F2 然后单步F8慢慢往下走就到达 OEP了软件字校验还没有修复弄好后我会给楼主回复 2008-10-18 11:35 0
hyhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	hyhack 19 楼最后我找到的 OEP是 00401EEC > 68 80204000 push 00402080 程序是用VB编写的 2008-10-18 14:54 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 20 楼脱壳部分基本上会了我用的笨方法解决软件自校验等你修复了我在看看 2008-10-19 02:14 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 21 楼郁闷这么多天了还没能搞定谁能帮忙下 2008-10-20 10:29 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 22 楼每日一顶等待答案 2008-10-20 17:50 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 23 楼呵呵，可怜的孩子。帮你顶顶！ 2008-10-20 19:25 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 24 楼 2008-10-21 08:46 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 25 楼额，我没装杀软啊，好大个毒啊，晕晕的，鄙视楼主发这样的东西上来。幸好我是在虚拟机里弄的。不过，管理员偏心，他这样发贴都不被删除，我发就说我求破解，违反规矩，把我的贴删除了。 2008-10-21 09:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

神爱写

发帖

回帖

RANK

关注

私信

他的文章

[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]变异壳 12482

关于我们

联系我们

企业服务

看雪公众号

最新回复 (50) 1 2 3 ▶
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 2 楼 Microsoft Visual Basic 5.0 / 6.0 上传的附件： UnPackED.rar （55.02kb，88次下载） 2008-10-15 12:15 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 3 楼你的这个不行我自己脱也是跟你一样不能运行会弹出一个窗口 2008-10-15 12:46 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 4 楼在线等......................... 2008-10-15 17:52 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 5 楼在线等......................... 在线等......................... 在线等......................... 在线等......................... 在线等......................... 2008-10-16 01:13 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 6 楼程序有大小效验!自己排除下就可以啦 2008-10-16 02:56 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 7 楼说说谁都会具体怎么做了我很菜啊会的话就不用在这问了 2008-10-16 03:06 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 8 楼 aaaaaaaa 2008-10-17 11:37 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 9 楼报毒了,Trojan.DL.Win32.Mnless.bfu 怎么处理?? 2008-10-17 15:54 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 10 楼把校验NOP了. 斑竹,可以看下. 我是新人,也许是错的哦! 上传的附件： dumped_2.rar （54.72kb，15次下载） 2008-10-17 16:11 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 11 楼病毒吗？怕怕哦！ 2008-10-17 16:42 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 12 楼 Trojan.DL.Win32.Mnless.bfu 从病毒名字上看,是下载型的病毒或者恶意软件. 我调试时,拔了网线, 调试完了,杀了内存. 呵呵! 2008-10-17 16:50 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 13 楼强，呵呵。 2008-10-17 17:16 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 14 楼程序的校验在3处以上，只修复某一处是无关痛痒的我已经修改了3处，但是还没跑起来因为没修复一次都要放到虚拟机里论证，所以太麻烦此程序比较邪恶，大家调试的时候要小心。 2008-10-17 21:08 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 15 楼高手希望等你修复好了发出来最好写上修复过程就好了顺便学习下 2008-10-18 00:38 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 16 楼是错了经测试不行 2008-10-18 01:06 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 17 楼比较邪恶？是做什么的程序？ 2008-10-18 01:06 0
hyhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	hyhack 18 楼脱壳部分 004397F0 > 60 pushad 004397F1 BE 00E04200 mov esi, 0042E000 004397F6 8DBE 0030FDFF lea edi, [esi+FFFD3000] 004397FC 57 push edi 004397FD 83CD FF or ebp, FFFFFFFF 00439800 EB 10 jmp short 00439812 00439802 90 nop 00439803 90 nop 00439804 90 nop 00439805 90 nop 00439806 90 nop 00439807 90 nop 00439808 8A06 mov al, [esi] 0043980A 46 inc esi 0043980B 8807 mov [edi], al 0043980D 47 inc edi 0043980E 01DB add ebx, ebx 00439810 75 07 jnz short 00439819 00439812 8B1E mov ebx, [esi] 00439814 83EE FC sub esi, -4 00439817 11DB adc ebx, ebx 00439819 ^ 72 ED jb short 00439808 0043981B B8 01000000 mov eax, 1 在此处F4 00439820 01DB add ebx, ebx 00439822 75 07 jnz short 0043982B 00439824 8B1E mov ebx, [esi] 往下一直F8 ，F4打断向上的跳转，直到此处 0043989B /76 0F jbe short 004398AC 0043989D \|8A02 mov al, [edx] 0043989F \|42 inc edx 004398A0 \|8807 mov [edi], al 004398A2 \|47 inc edi 004398A3 \|49 dec ecx 004398A4 ^\|75 F7 jnz short 0043989D 向上的跳转 004398A6 ^\|E9 63FFFFFF jmp 0043980E 向上的跳转 004398AB \|90 nop 此处不能用F4 004398AC \8B02 mov eax, [edx] 004398AE 83C2 04 add edx, 4 004398B1 8907 mov [edi], eax 004398B3 83C7 04 add edi, 4 004398B6 83E9 04 sub ecx, 4 004398B9 ^ 77 F1 ja short 004398AC 004398BB 01CF add edi, ecx 004398BD ^ E9 4CFFFFFF jmp 0043980E 需要在这一行 0043989B /76 0F jbe short 004398AC 右键跟随 F2 F9 F2 然后单步F8慢慢往下走就到达 OEP了软件字校验还没有修复弄好后我会给楼主回复 2008-10-18 11:35 0
hyhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	hyhack 19 楼最后我找到的 OEP是 00401EEC > 68 80204000 push 00402080 程序是用VB编写的 2008-10-18 14:54 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 20 楼脱壳部分基本上会了我用的笨方法解决软件自校验等你修复了我在看看 2008-10-19 02:14 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 21 楼郁闷这么多天了还没能搞定谁能帮忙下 2008-10-20 10:29 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 22 楼每日一顶等待答案 2008-10-20 17:50 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 23 楼呵呵，可怜的孩子。帮你顶顶！ 2008-10-20 19:25 0
神爱写雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	神爱写 24 楼 2008-10-21 08:46 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 25 楼额，我没装杀软啊，好大个毒啊，晕晕的，鄙视楼主发这样的东西上来。幸好我是在虚拟机里弄的。不过，管理员偏心，他这样发贴都不被删除，我发就说我求破解，违反规矩，把我的贴删除了。 2008-10-21 09:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复