关于UPX-Scrambler RC1.x -> ┫nT?L 的问题,求解-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

关于UPX-Scrambler RC1.x -> ┫nT?L 的问题,求解

发表于: 2004-12-4 15:56 6479

关于UPX-Scrambler RC1.x -> ┫nT?L 的问题,求解

tianwufeng 活跃值

2004-12-4 15:56

6479

一个瑞星的免费升级程序,第一层壳我已经脱掉了
附件:RAB.rar

第二层是  UPX-Scrambler RC1.x -> ┫nT?L

我脱了很久

有一个问题我的入口点找的是14D5

可是看fly老大说的:

UPX脱壳没这么麻烦的

UPX-Scrambler 搜索：60 E9
即到入口
然后修复输入表

用dREAMtHEATER老大的UPX ShellExt也干不掉
郁闷

入口我找到了和正常的不一样啊

我的:004015D4
正常:
OPE：0000E9E6 RAV：0000FFFC  大小：0000055C
----------------------------------------------------------------------

希望谁能帮我看看,附入口代码

004185DF ^\EB D8             jmp short RAB.004185B9
004185E1    FF96 B0F10100    call dword ptr ds:[esi+1F1B0]
004185E7    60                pushad
004185E8 - E9 E78FFEFF       jmp RAB.004015D4
004185ED    0000             add byte ptr ds:[eax],al
004185EF    0000             add byte ptr ds:[eax],al

----------------------------------------------------------------------

004015D4    68 90854000       push RAB.00408590
004015D9    E8 EEFFFFFF       call RAB.004015CC                ; jmp to MSVBVM60.ThunRTMain
004015DE    0000             add byte ptr ds:[eax],al
004015E0    0000             add byte ptr ds:[eax],al
004015E2    0000             add byte ptr ds:[eax],al

希望大家能给我一些帮助

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・3

免费・1

支持

最新回复 (17)
xblan 雪币： 266 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	xblan 2 楼不能放个你没动过的？ 2004-12-4 17:23 0
tianwufeng 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	tianwufeng 3 楼附件:瑞星免费升级程序.rar 这个是我没有动过的文件 2004-12-4 18:08 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 4 楼瑞星免费升级程序之壳： ASPack 2.11 -> Alexey Solodovnikov（First!）　↓ UPX-Scrambler RC1.x -> ┫nT?L （Second!）　↓ Microsoft Visual Basic 5.0 / 6.0 （no packed!）呵呵~~~~~ 附件:dumped_.rar 2004-12-4 20:38 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 5 楼 try to find pushad附件:Unpack_.rar 2004-12-4 20:40 0
tianwufeng 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	tianwufeng 6 楼不知道UPX-Scrambler RC1.x -> ┫nT?L 入口如何找到的? 上面有我的过程不知道我错在哪里了? KuNgBiM , Winter-Night 两位能否把你们的过程贴一下好吗? 简单一点也可以,或者看看我上面的究竟哪里出错误了呢? 2004-12-4 23:36 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼我的:004015D4 * OEP:0000E9E6 * 这两个没有写错? 2004-12-4 23:40 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 8 楼我的OEP:004015D4 有错？ 2004-12-5 00:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼他两个不符. 2004-12-5 00:01 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 10 楼最初由 forgot 发布他两个不符. 啥意思 2004-12-5 00:11 0
tianwufeng 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	tianwufeng 11 楼我的OEP:004015D4 和冰红茶一样的但是脱出来修复后还是有问题郁闷阿 2004-12-5 08:34 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 12 楼 004015D4 68 90854000 push RAB.00408590 我认为这个是OEP没错 2004-12-5 11:41 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 13 楼 OEP: 000015D4 IATRVA: 00001000 IATSize: 0000018C 2004-12-5 18:34 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 14 楼 upx也有强的，下次我弄个来给大家玩玩 2004-12-6 12:46 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 15 楼我只用了1分钟就脱了壳，vb程序很简单，在msvbvm60.dll!100函数设断，我这里是0x6600357C,拦下，然后看堆栈，这里就是OEP调用后的返回地址，如下，dump出来修复iat就可以了。 004015D4 68 90854000 PUSH 瑞星免费.00408590 004015D9 E8 EEFFFFFF CALL 瑞星免费.004015CC ; JMP to msvbvm60.ThunRTMain 004015DE 0000 ADD BYTE PTR DS:[EAX],AL 004015E0 0000 ADD BYTE PTR DS:[EAX],AL 2004-12-6 14:04 0
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 16 楼最初由 vrowang123 发布 upx也有强的，下次我弄个来给大家玩玩好啊!什么时候发出?啊,大大!!!! 2004-12-6 18:30 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 17 楼最初由冰红茶发布啥意思 forgot的意思是，他找到的oep和他填写到import_rec里面的oep不一样。要注意看原作哦:D :D 2004-12-6 23:46 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 18 楼最初由 cgdxxx 发布我只用了1分钟就脱了壳，vb程序很简单，在msvbvm60.dll!100函数设断，我这里是0x6600357C,拦下，然后看堆栈，这里就是OEP调用后的返回地址，如下，dump出来修复iat就可以了。 004015D4 68 90854000 PUSH 瑞星免费.00408590 004015D9 E8 EEFFFFFF CALL 瑞星免费.004015CC ; JMP to msvbvm60.ThunRTMain 004015DE 0000 ADD BYTE PTR DS:[EAX],AL ........ C++有简单方法么？ 2004-12-8 10:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tianwufeng

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
xblan 雪币： 266 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	xblan 2 楼不能放个你没动过的？ 2004-12-4 17:23 0
tianwufeng 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	tianwufeng 3 楼附件:瑞星免费升级程序.rar 这个是我没有动过的文件 2004-12-4 18:08 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 4 楼瑞星免费升级程序之壳： ASPack 2.11 -> Alexey Solodovnikov（First!）　↓ UPX-Scrambler RC1.x -> ┫nT?L （Second!）　↓ Microsoft Visual Basic 5.0 / 6.0 （no packed!）呵呵~~~~~ 附件:dumped_.rar 2004-12-4 20:38 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 5 楼 try to find pushad附件:Unpack_.rar 2004-12-4 20:40 0
tianwufeng 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	tianwufeng 6 楼不知道UPX-Scrambler RC1.x -> ┫nT?L 入口如何找到的? 上面有我的过程不知道我错在哪里了? KuNgBiM , Winter-Night 两位能否把你们的过程贴一下好吗? 简单一点也可以,或者看看我上面的究竟哪里出错误了呢? 2004-12-4 23:36 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼我的:004015D4 * OEP:0000E9E6 * 这两个没有写错? 2004-12-4 23:40 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 8 楼我的OEP:004015D4 有错？ 2004-12-5 00:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼他两个不符. 2004-12-5 00:01 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 10 楼最初由 forgot 发布他两个不符. 啥意思 2004-12-5 00:11 0
tianwufeng 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	tianwufeng 11 楼我的OEP:004015D4 和冰红茶一样的但是脱出来修复后还是有问题郁闷阿 2004-12-5 08:34 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 12 楼 004015D4 68 90854000 push RAB.00408590 我认为这个是OEP没错 2004-12-5 11:41 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 13 楼 OEP: 000015D4 IATRVA: 00001000 IATSize: 0000018C 2004-12-5 18:34 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 14 楼 upx也有强的，下次我弄个来给大家玩玩 2004-12-6 12:46 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 15 楼我只用了1分钟就脱了壳，vb程序很简单，在msvbvm60.dll!100函数设断，我这里是0x6600357C,拦下，然后看堆栈，这里就是OEP调用后的返回地址，如下，dump出来修复iat就可以了。 004015D4 68 90854000 PUSH 瑞星免费.00408590 004015D9 E8 EEFFFFFF CALL 瑞星免费.004015CC ; JMP to msvbvm60.ThunRTMain 004015DE 0000 ADD BYTE PTR DS:[EAX],AL 004015E0 0000 ADD BYTE PTR DS:[EAX],AL 2004-12-6 14:04 0
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 16 楼最初由 vrowang123 发布 upx也有强的，下次我弄个来给大家玩玩好啊!什么时候发出?啊,大大!!!! 2004-12-6 18:30 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 17 楼最初由冰红茶发布啥意思 forgot的意思是，他找到的oep和他填写到import_rec里面的oep不一样。要注意看原作哦:D :D 2004-12-6 23:46 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 18 楼最初由 cgdxxx 发布我只用了1分钟就脱了壳，vb程序很简单，在msvbvm60.dll!100函数设断，我这里是0x6600357C,拦下，然后看堆栈，这里就是OEP调用后的返回地址，如下，dump出来修复iat就可以了。 004015D4 68 90854000 PUSH 瑞星免费.00408590 004015D9 E8 EEFFFFFF CALL 瑞星免费.004015CC ; JMP to msvbvm60.ThunRTMain 004015DE 0000 ADD BYTE PTR DS:[EAX],AL ........ C++有简单方法么？ 2004-12-8 10:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复