[求助]脫了upx但是ep段顯示upx0-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼不要在意。如果显示Microsoft Visual C++ 6.0，且运行也正常。应该是已经脱了，至于段名。可以为任何名字的。 2009-9-14 12:39 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 3 楼楼主，你用什么脱壳机？ 2009-9-14 14:00 0
wwwmusicci 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	wwwmusicci 4 楼感謝二樓的回覆,分析之後沒有花指令亂碼可以找的到函數,不過我還是很好奇為什麼脫殼機可以脫成那樣呢? 我看了ep 段脫殼機的是 .text 偏移00001000 大小00150052 而我脫的有兩個 upx0 偏移00001000 大小00159000 upx1 偏移0015A000 大小0009A000 就算pe工具修改名稱也不可能整合成那樣吧有適合的軟體可以用嗎? 關於三樓我用的脫殼機是UpxUnpacker附載點如下: http://www.rayfile.com/files/2a596e47-a130-11de-a9ee-0014221b798a/ 2009-9-14 21:16 0
rainboys 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	rainboys 5 楼关注一下，我也遇到一个这样的程序，后来od载入发觉是e语言！ 2009-9-14 23:36 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼我对脱壳也没有怎么学习过，且只是说说我的看法。如果你找到更贴切的答案，忘记我说的。脱壳一般会有两种方式，静态，和动态的。静态脱壳，利用了加壳软件的算法，逆向操作，像UPX的壳一般都是可以采用静态脱壳的。且这种方式脱壳很完美，全部或者基本上可以还原程序的原来面貌。动态脱壳，执行加壳后的软件，软件自身运行到某个时刻，这个时刻的软件映像是被解压缩。或者解密了的。这个时候通过手动转储内存空间就可以获得脱壳后的软件。但是这样出来的软件带了很多壳程序留下的痕迹。不是很完美。你用OD的ESP定律出来的就是动态脱壳了。脱壳机属于静态的。只有部分压缩壳会有静态脱壳机，一般情况，保护壳都无法用静态脱壳的 2009-9-15 08:30 0
grandship 雪币： 625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	grandship 7 楼强烈同意版主的观点！ 2009-9-15 20:01 0
ytyay 雪币： 13248 活跃值： (3647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 129 粉丝 0 关注私信	ytyay 8 楼非常感谢您提供的脱壳机！ 2009-12-27 16:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼不要在意。如果显示Microsoft Visual C++ 6.0，且运行也正常。应该是已经脱了，至于段名。可以为任何名字的。 2009-9-14 12:39 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 3 楼楼主，你用什么脱壳机？ 2009-9-14 14:00 0
wwwmusicci 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	wwwmusicci 4 楼感謝二樓的回覆,分析之後沒有花指令亂碼可以找的到函數,不過我還是很好奇為什麼脫殼機可以脫成那樣呢? 我看了ep 段脫殼機的是 .text 偏移00001000 大小00150052 而我脫的有兩個 upx0 偏移00001000 大小00159000 upx1 偏移0015A000 大小0009A000 就算pe工具修改名稱也不可能整合成那樣吧有適合的軟體可以用嗎? 關於三樓我用的脫殼機是UpxUnpacker附載點如下: http://www.rayfile.com/files/2a596e47-a130-11de-a9ee-0014221b798a/ 2009-9-14 21:16 0
rainboys 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	rainboys 5 楼关注一下，我也遇到一个这样的程序，后来od载入发觉是e语言！ 2009-9-14 23:36 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼我对脱壳也没有怎么学习过，且只是说说我的看法。如果你找到更贴切的答案，忘记我说的。脱壳一般会有两种方式，静态，和动态的。静态脱壳，利用了加壳软件的算法，逆向操作，像UPX的壳一般都是可以采用静态脱壳的。且这种方式脱壳很完美，全部或者基本上可以还原程序的原来面貌。动态脱壳，执行加壳后的软件，软件自身运行到某个时刻，这个时刻的软件映像是被解压缩。或者解密了的。这个时候通过手动转储内存空间就可以获得脱壳后的软件。但是这样出来的软件带了很多壳程序留下的痕迹。不是很完美。你用OD的ESP定律出来的就是动态脱壳了。脱壳机属于静态的。只有部分压缩壳会有静态脱壳机，一般情况，保护壳都无法用静态脱壳的 2009-9-15 08:30 0
grandship 雪币： 625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	grandship 7 楼强烈同意版主的观点！ 2009-9-15 20:01 0
ytyay 雪币： 13248 活跃值： (3647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 129 粉丝 0 关注私信	ytyay 8 楼非常感谢您提供的脱壳机！ 2009-12-27 16:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复