MOV 发表于 2008-8-25 05:38:57

求助双重壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

程序入口:
004BCF40 > $60            pushad
004BCF41   .BE 00604800   mov   esi, 00486000
004BCF46   .8DBE 00B0F7FF lea   edi, dword ptr
004BCF4C   .57            push    edi
004BCF4D   .EB 0B         jmp   short 004BCF5A
一看就知道是UPX的
但是找第一个壳OEP的时候程序是这样的
004BD0DF   .8D4424 80   lea   eax, dword ptr
004BD0E3   >6A 00         push    0
004BD0E5   .39C4          cmp   esp, eax
004BD0E7   .^ 75 FA         jnz   short 004BD0E3
004BD0E9   .83EC 80       sub   esp, -80
004BD0EC   .- E9 ED7AF9FF   jmp   00454BDE这里进去以后
变成这样了
00454BD3    B8 FF000000   mov   eax, 0FF
00454BD8    E8 14190000   call    004564F1
00454BDD    C3            retn
00454BDE    E8 8EA50000   call    0045F171进去后在这里
00454BE3^ E9 16FEFFFF   jmp   004549FE
00454BE8    C3            retn
00454BE9    B8 92FC4500   mov   eax, 0045FC92
00454BEE    A3 282D4700   mov   dword ptr , eax
不在是UPX入口的形式啊
到这里我就不怎么改怎么办了
大家帮忙看下文件下载地址:http://www.namipan.com/d/7346e016e1e0841218867b3176bbaf8b4c21eb0d38538901

[ 本帖最后由 MOV 于 2008-8-26 10:26 编辑 ]

峰云星炫 发表于 2008-8-26 10:11:09

找个网盘 传不就可以了。

小生我怕怕 发表于 2008-8-26 11:55:53

程序24M,可真是不小啊!

aj3423 发表于 2008-8-26 13:14:19

鸟网盘 下不了 建议只上传exe到其他网盘

MOV 发表于 2008-8-27 08:05:10

找不到了

大家先看看吧
能不能脱掉
不能下可以问我要QQ365878627

小生我怕怕 发表于 2008-8-28 02:18:13

http://www.rayfile.com/zh-cn/
把程序传到这里我帮你看看!

MOV 发表于 2008-8-29 06:30:38

新的下载地方

谢谢上楼的朋友http://www.rayfile.com/files/0d74eb73-7551-11dd-8dea-0014221b798a/
只要把 脱壳的文件是什么语言或OEP发出给我就可以了发出来给我就可以了谢谢

[ 本帖最后由 MOV 于 2008-8-29 08:02 编辑 ]

aj3423 发表于 2008-8-29 18:15:09

upx 壳
od载入往下拉 拉到
004BD0EC- E9 ED7AF9FF   jmp   00454BDE
这里F2下断, shift+F9运行,断下,F8单步来到
00454BDE    E8 8EA50000   call    0045F171         这里F8过
00454BE3^ E9 16FEFFFF   jmp   004549FE         这里跳向oep

vc7程序,这个upx可能是高版本的
到oep -> dump -> 修复iat -> 处理overlay -> ok

MOV 发表于 2008-8-30 05:09:13

谢谢了

OK
你脱了壳查的时候还是UPX的吗?????

aj3423 发表于 2008-8-30 13:15:38

不能完全靠peid,你知道没壳就ok
页: [1] 2
查看完整版本: 求助双重壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]