[讨论]显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo却脱不下来-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 2 楼篡改首页。这是什么程序啊 2009-5-1 20:47 0
yzldll 雪币： 220 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	yzldll 3 楼应该是和用到的upx.exe的版本有关系。有一个版本的可以直接用来脱壳，只是我忘记了。 2009-5-1 21:55 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 4 楼 ctrl+f 查找popad f8几下 jmp就到oep了不知道啥编译器编的以前没见过 2009-5-1 22:03 0
luzechao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 176 粉丝 0 关注私信	luzechao 5 楼我有次有次也碰到一个这个壳，用自身的upxshell可以脱的，， od走的时候却怎么也找不到oep，， 2009-5-1 22:05 0
dazy 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	dazy 6 楼每次都是挂起把第一段NOP掉就可以了不过脱不掉 2009-5-2 01:46 0
option 雪币： 8188 活跃值： (2686) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 7 楼 maybe vc 6.0 above? attach is unpacked and fixed file 上传的附件： dumped_.rar （43.45kb，14次下载） 2009-5-2 10:55 0
梁源雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	梁源 8 楼还在研究中，怎么没人解决呢？ 2009-5-2 18:15 0
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 9 楼压缩壳好像不难吧 2009-5-2 18:18 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 147 粉丝 0 关注私信	chengxjj 10 楼 0040148D 68 D8B5915C PUSH 5C91B5D8 00401492 - E9 55F60000 JMP P2007.00410AEC 00401497 59 POP ECX 00401498 36:FF31 PUSH DWORD PTR SS:[ECX] 0040149B E9 96010000 JMP P2007.00401636 004014A0 66:5A POP DX 004014A2 66:59 POP CX 004014A4 F6D2 NOT DL 004014A6 F6D1 NOT CL 004014A8 20CA AND DL,CL 004014AA 66:52 PUSH DX 004014AC 9C PUSHFD OEP 2009-5-2 18:30 0
赤那雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 45 粉丝 0 关注私信	赤那 11 楼向option表示感谢。谢谢您的帮助。 2009-5-2 19:30 0
幽灵类雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	幽灵类 12 楼 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 加的壳怎么脱哦！！ 2009-5-21 10:49 0
双杰雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	双杰 13 楼附件是病毒，也不说一下，楼主不厚道。 2009-5-23 15:42 0
zery 雪币： 204 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	zery 14 楼这个壳好像有点点难度！ 2009-5-23 16:02 0
rocktx 雪币： 338 活跃值： (100) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 31 粉丝 0 关注私信	rocktx 1 15 楼楼主的a程序只是篡改IE、Firefox等浏览器的主页，算不上什么病毒，传个恢复主页修改的b程序给大家，修改了一下a的代码上传的附件： b.rar （43.41kb，3次下载） 2009-5-23 22:59 0
失望米虫雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	失望米虫 16 楼 ESP定律法！第一：PEid查壳！显示为：UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 二：OD载入停在下面 00418810 > 60 pushad 00418811 BE 00204100 mov esi, 00412000 00418816 8DBE 00F0FEFF lea edi, dword ptr [esi+FFFEF000] 0041881C 57 push edi 0041881D EB 0B jmp short 0041882A 0041881F 90 nop F8单步一下，寄存器ESP突现，其值为0012FFA4 OD命令行下打入：hr 0012FFA4 回车！F9运行，OD停在如下 004189B7 8D4424 80 lea eax, dword ptr [esp-80] 004189BB 6A 00 push 0 004189BD 39C4 cmp esp, eax 004189BF ^ 75 FA jnz short 004189BB 004189C1 83EC 80 sub esp, -80 004189C4 - E9 B0A3FEFF jmp 00402D79 004189C9 0000 add byte ptr [eax], al 004189CB 0048 00 add byte ptr [eax], cl 004189CE 0000 add byte ptr [eax], al 点OD的菜单：调试-》硬件断点，打开的硬件断点窗口，把断点删除。三次F8单步，走到 004189BF ^ 75 FA jnz short 004189BB，，，程序向上跳，直接选下一行 004189C1 83EC 80 sub esp, -80，F4！再F8单步，到004189C4 - E9 B0A3FEFF jmp 00402D79 ，这就是跳到OEP了，再F8！ OD停在 00402D79 E8 B4320000 call 00406032 00402D7E ^ E9 79FEFFFF jmp 00402BFC 00402D83 6A 0C push 0C 00402D85 68 E8D04000 push 0040D0E8 00402D8A E8 0D010000 call 00402E9C 00402D8F 8B75 08 mov esi, dword ptr [ebp+8] 00402D92 85F6 test esi, esi 00402D94 74 75 je short 00402E0B LoadPE Dump程序，IMport修复！出来的程序，我的PEid查为UPolyX v0.5 * 七楼给出的，我的PEid查同样为UPolyX v0.5 * 2009-5-27 16:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 2 楼篡改首页。这是什么程序啊 2009-5-1 20:47 0
yzldll 雪币： 220 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	yzldll 3 楼应该是和用到的upx.exe的版本有关系。有一个版本的可以直接用来脱壳，只是我忘记了。 2009-5-1 21:55 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 4 楼 ctrl+f 查找popad f8几下 jmp就到oep了不知道啥编译器编的以前没见过 2009-5-1 22:03 0
luzechao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 176 粉丝 0 关注私信	luzechao 5 楼我有次有次也碰到一个这个壳，用自身的upxshell可以脱的，， od走的时候却怎么也找不到oep，， 2009-5-1 22:05 0
dazy 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	dazy 6 楼每次都是挂起把第一段NOP掉就可以了不过脱不掉 2009-5-2 01:46 0
option 雪币： 8188 活跃值： (2686) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 7 楼 maybe vc 6.0 above? attach is unpacked and fixed file 上传的附件： dumped_.rar （43.45kb，14次下载） 2009-5-2 10:55 0
梁源雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	梁源 8 楼还在研究中，怎么没人解决呢？ 2009-5-2 18:15 0
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 9 楼压缩壳好像不难吧 2009-5-2 18:18 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 147 粉丝 0 关注私信	chengxjj 10 楼 0040148D 68 D8B5915C PUSH 5C91B5D8 00401492 - E9 55F60000 JMP P2007.00410AEC 00401497 59 POP ECX 00401498 36:FF31 PUSH DWORD PTR SS:[ECX] 0040149B E9 96010000 JMP P2007.00401636 004014A0 66:5A POP DX 004014A2 66:59 POP CX 004014A4 F6D2 NOT DL 004014A6 F6D1 NOT CL 004014A8 20CA AND DL,CL 004014AA 66:52 PUSH DX 004014AC 9C PUSHFD OEP 2009-5-2 18:30 0
赤那雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 45 粉丝 0 关注私信	赤那 11 楼向option表示感谢。谢谢您的帮助。 2009-5-2 19:30 0
幽灵类雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	幽灵类 12 楼 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 加的壳怎么脱哦！！ 2009-5-21 10:49 0
双杰雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	双杰 13 楼附件是病毒，也不说一下，楼主不厚道。 2009-5-23 15:42 0
zery 雪币： 204 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	zery 14 楼这个壳好像有点点难度！ 2009-5-23 16:02 0
rocktx 雪币： 338 活跃值： (100) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 31 粉丝 0 关注私信	rocktx 1 15 楼楼主的a程序只是篡改IE、Firefox等浏览器的主页，算不上什么病毒，传个恢复主页修改的b程序给大家，修改了一下a的代码上传的附件： b.rar （43.41kb，3次下载） 2009-5-23 22:59 0
失望米虫雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	失望米虫 16 楼 ESP定律法！第一：PEid查壳！显示为：UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 二：OD载入停在下面 00418810 > 60 pushad 00418811 BE 00204100 mov esi, 00412000 00418816 8DBE 00F0FEFF lea edi, dword ptr [esi+FFFEF000] 0041881C 57 push edi 0041881D EB 0B jmp short 0041882A 0041881F 90 nop F8单步一下，寄存器ESP突现，其值为0012FFA4 OD命令行下打入：hr 0012FFA4 回车！F9运行，OD停在如下 004189B7 8D4424 80 lea eax, dword ptr [esp-80] 004189BB 6A 00 push 0 004189BD 39C4 cmp esp, eax 004189BF ^ 75 FA jnz short 004189BB 004189C1 83EC 80 sub esp, -80 004189C4 - E9 B0A3FEFF jmp 00402D79 004189C9 0000 add byte ptr [eax], al 004189CB 0048 00 add byte ptr [eax], cl 004189CE 0000 add byte ptr [eax], al 点OD的菜单：调试-》硬件断点，打开的硬件断点窗口，把断点删除。三次F8单步，走到 004189BF ^ 75 FA jnz short 004189BB，，，程序向上跳，直接选下一行 004189C1 83EC 80 sub esp, -80，F4！再F8单步，到004189C4 - E9 B0A3FEFF jmp 00402D79 ，这就是跳到OEP了，再F8！ OD停在 00402D79 E8 B4320000 call 00406032 00402D7E ^ E9 79FEFFFF jmp 00402BFC 00402D83 6A 0C push 0C 00402D85 68 E8D04000 push 0040D0E8 00402D8A E8 0D010000 call 00402E9C 00402D8F 8B75 08 mov esi, dword ptr [ebp+8] 00402D92 85F6 test esi, esi 00402D94 74 75 je short 00402E0B LoadPE Dump程序，IMport修复！出来的程序，我的PEid查为UPolyX v0.5 * 七楼给出的，我的PEid查同样为UPolyX v0.5 * 2009-5-27 16:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复