能力值:
(RANK:1060 )
|
-
-
2 楼
0102645F > $ 90 nop
01026460 > 61 popad
01026461 . BE 00000201 mov esi, 01020000
01026466 . 8DBE 0010FEFF lea edi, [esi+FFFE1000]
0102646C . 57 push edi
0102646D . 83CD FF or ebp, FFFFFFFF
01026470 . EB 10 jmp short 01026482
01026472 . EB 00 jmp short 01026474
page down.
010265A7 > \60 pushad
010265A8 .- E9 53EAFEFF jmp 01015000
01015000 55 push ebp ; WINSPOOL.72F70000
01015001 8BEC mov ebp, esp
01015003 6A FF push -1
01015005 6A 00 push 0
01015007 6A 00 push 0
01015009 64:A1 00000000 mov eax, fs:[0]
0101500F 50 push eax
01015010 64:8925 0000000>mov fs:[0], esp
01015017 58 pop eax
01015018 58 pop eax
01015019 58 pop eax
0101501A 58 pop eax
0101501B 8BE8 mov ebp, eax
0101501D ^ E9 8E8CFFFF jmp 0100DCB0
0100DCB0 /EB 06 jmp short 0100DCB8
0100DCB2 |68 20640000 push 6420
0100DCB7 |C3 retn
0100DCB8 \9C pushfd
0100DCB9 60 pushad
hr esp-4
01011550 50 push eax
01011551 68 20640001 push 01006420
01011556 C2 0400 retn 4
01006420 55 push ebp
01006421 8BEC mov ebp, esp
01006423 6A FF push -1
01006425 68 88180001 push 01001888
0100642A 68 D0650001 push 010065D0 ; jmp to msvcrt._except_handler3
0100642F 64:A1 00000000 mov eax, fs:[0]
01006435 50 push eax
01006436 64:8925 0000000>mov fs:[0], esp
0100643D 83C4 98 add esp, -68
01006440 53 push ebx
01006441 56 push esi
01006442 57 push edi
01006443 8965 E8 mov [ebp-18], esp
01006446 C745 FC 0000000>mov dword ptr [ebp-4], 0
0100644D 6A 02 push 2
0100644F FF15 60110001 call [1001160] ; msvcrt.__set_app_type
01006455 83C4 04 add esp, 4
01006458 C705 38990001 F>mov dword ptr [1009938], -1
01006462 C705 3C990001 F>mov dword ptr [100993C], -1
0100646C FF15 5C110001 call [100115C] ; msvcrt.__p__fmode
01006472 8B0D 44880001 mov ecx, [1008844]
01006478 8908 mov [eax], ecx
0100647A FF15 4C110001 call [100114C] ; msvcrt.__p__commode
dump
OEP=6420
IAT RVA=00001000
IAT Size=000002FC
fix it
|
能力值:
(RANK:1060 )
|
-
-
3 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
厉害!
|
能力值:
( LV1,RANK:10 )
|
-
-
5 楼
你脱玩的都打不开了啊
|
能力值:
(RANK:1060 )
|
-
-
6 楼
那就自己脱。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
附件:dumped_.rar
双层壳,第二层壳为PECompact 1.68 - 1.84 -> Jeremy Collake,
没有SEH,很容易脱的!!详细步骤就略过了,有需要就贴出来!~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
最初由 lply 发布 你脱玩的都打不开了啊
将 RestoreLastError 改回 SetLastError 就好了!
|
能力值:
( LV1,RANK:10 )
|
-
-
10 楼
哇哦 真是高手 服你们了
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
UPX+瞎写(VC头的伪装的确不怎么样)+PECompact
|
能力值:
( LV1,RANK:10 )
|
-
-
12 楼
Q3Q3 果然厉害
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
爱儿发的,看看.
|
能力值:
( LV9,RANK:170 )
|
-
-
14 楼
UPX-Scrambler RC1.x -> ┫nT?L
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
不会吧?真的是UPX-Scrambler RC1.x -> ┫nT?L
UPX SHELLEX 直接能脱
我郁闷
|
能力值:
( LV4,RANK:50 )
|
-
-
16 楼
一般的多层壳 起真正保护作用的是最里面一层壳
这个样本UPX最里面加壳估计连脱壳机都能对付了
|
能力值:
( LV8,RANK:130 )
|
-
-
17 楼
1、peid 0.92 Build 06.25 载入
插件----》generic OEP Finder
入口:01006420
2、运行加壳程序,用loadpe 完全Dump;脱壳后程序运行出错。
3、运行加壳程序,
RecImport
Oep :6420
rAv :00000000
大小:00001000
获取输入表,全为真,修复刚才的DUMP文件。可以运行,但有点肥,176kb.
|
|
|