首页
社区
课程
招聘
[讨论]显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo却脱不下来
发表于: 2009-5-1 20:19 8150

[讨论]显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo却脱不下来

2009-5-1 20:19
8150
显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

却怎么也脱不下来,求助高手帮忙。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
  • a.rar (36.33kb,32次下载)
收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 231
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
篡改首页。这是什么程序啊
2009-5-1 20:47
0
雪    币: 220
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
应该是和用到的upx.exe的版本有关系。有一个版本的可以直接用来脱壳,只是我忘记了。
2009-5-1 21:55
0
雪    币: 2242
活跃值: (488)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
4
ctrl+f 查找popad f8几下 jmp就到oep了
不知道啥编译器编的 以前没见过
2009-5-1 22:03
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我有次有次也碰到一个这个壳,用自身的upxshell可以脱的,,

od走的时候却怎么也找不到oep,,
2009-5-1 22:05
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
每次都是挂起     把第一段NOP掉就可以了  不过脱不掉
2009-5-2 01:46
0
雪    币: 8227
活跃值: (2731)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
maybe vc 6.0 above?

attach is unpacked and fixed file
上传的附件:
2009-5-2 10:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
还在研究中,怎么没人解决呢?
2009-5-2 18:15
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
压缩壳好像不难吧
2009-5-2 18:18
0
雪    币: 256
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
0040148D    68 D8B5915C     PUSH 5C91B5D8
00401492  - E9 55F60000     JMP P2007.00410AEC
00401497    59              POP ECX
00401498    36:FF31         PUSH DWORD PTR SS:[ECX]
0040149B    E9 96010000     JMP P2007.00401636
004014A0    66:5A           POP DX
004014A2    66:59           POP CX
004014A4    F6D2            NOT DL
004014A6    F6D1            NOT CL
004014A8    20CA            AND DL,CL
004014AA    66:52           PUSH DX
004014AC    9C              PUSHFD

OEP
2009-5-2 18:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
向option表示感谢。

谢谢您的帮助。
2009-5-2 19:30
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
加的壳怎么脱哦!!
2009-5-21 10:49
0
雪    币: 204
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
附件是病毒,也不说一下,楼主不厚道。
2009-5-23 15:42
0
雪    币: 204
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
这个壳好像有点点难度!
2009-5-23 16:02
0
雪    币: 338
活跃值: (100)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
15
楼主的a程序只是篡改IE、Firefox等浏览器的主页,算不上什么病毒,传个恢复主页修改的b程序给大家,修改了一下a的代码
上传的附件:
2009-5-23 22:59
0
雪    币: 235
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
ESP定律法!

第一:PEid查壳!
显示为:UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

二:OD载入
停在下面
00418810 >  60              pushad
00418811    BE 00204100     mov     esi, 00412000
00418816    8DBE 00F0FEFF   lea     edi, dword ptr [esi+FFFEF000]
0041881C    57              push    edi
0041881D    EB 0B           jmp     short 0041882A
0041881F    90              nop

F8单步一下,寄存器ESP突现,其值为0012FFA4

OD命令行下打入:hr 0012FFA4   回车!F9运行,OD停在如下

004189B7    8D4424 80       lea     eax, dword ptr [esp-80]
004189BB    6A 00           push    0
004189BD    39C4            cmp     esp, eax
004189BF  ^ 75 FA           jnz     short 004189BB
004189C1    83EC 80         sub     esp, -80
004189C4  - E9 B0A3FEFF     jmp     00402D79
004189C9    0000            add     byte ptr [eax], al
004189CB    0048 00         add     byte ptr [eax], cl
004189CE    0000            add     byte ptr [eax], al

点OD的菜单:调试-》硬件断点,打开的硬件断点窗口,把断点删除。

三次F8单步,走到 004189BF  ^ 75 FA           jnz     short 004189BB,,,程序向上跳,直接选下一行
004189C1    83EC 80         sub     esp, -80,F4!再F8单步,到004189C4  - E9 B0A3FEFF     jmp     00402D79 ,这就是跳到OEP了,再F8!

OD停在
00402D79    E8 B4320000     call    00406032
00402D7E  ^ E9 79FEFFFF     jmp     00402BFC
00402D83    6A 0C           push    0C
00402D85    68 E8D04000     push    0040D0E8
00402D8A    E8 0D010000     call    00402E9C
00402D8F    8B75 08         mov     esi, dword ptr [ebp+8]
00402D92    85F6            test    esi, esi
00402D94    74 75           je      short 00402E0B

LoadPE  Dump程序,IMport修复!

出来的程序,我的PEid查为UPolyX v0.5 *

七楼给出的,我的PEid查同样为UPolyX v0.5 *
2009-5-27 16:52
0
游客
登录 | 注册 方可回帖
返回
//