脱 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的问题

jieems

仙剑四   激活码好难弄  就学习破解  
查到  仙剑 安装目录下的 PAL4ExtendP.exe文件是
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
的壳   


大哥们可以帮忙教下
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
是怎么脱的吗？

有人说用　peid　可以脱掉　　我用了不行　头大了　　帮帮我！！！！！
/:002 /:002 /:002 /:002 /:002 /:002 /:002 /:002 /:002 /:002

LM苍蝇

呵呵 这个壳好办
运行OD后 直接往下找 找到一个"-"符号上 如:
00446233   .  83C3 04       ADD EBX,4
00446236   .^ EB E1         JMP SHORT ex1402.00446219
00446238   >  FF96 34790400 CALL DWORD PTR DS:[ESI+47934]
0044623E   >  61            POPAD
0044623F   .- E9 D405FEFF   JMP ex1402.00426818
最后一行有个"-" 按 F4 程序运行到这 然后再按F8就到出口了

feitianfox

UPX的壳好象直接搜索POPAD，就能找到OEP了
用ESP定律也可以的。
感觉UPX的壳很好脱，是我第一个学脱的壳。LZ可以自己先给记事本加个UPX的壳，和未加壳的源程序比对一下。/:001

LM苍蝇

我这个方法很简单 但没什么依据
这个是我脱了好多遍发现的也不算什么 只不过是个小聪明
如果查到是 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 这个壳
我试了 99%都能脱了
这个方法只针对UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 这个壳的

凡人1234

发表于 2007-8-7 12:51  资料  短消息  加为好友   
呵呵 这个壳好办
运行OD后 直接往下找 找到一个"-"符号上 如:
00446233   .  83C3 04       ADD EBX,4
00446236   .^ EB E1         JMP SHORT ex1402.00446219
00446238   >  FF96 34790400 CALL DWORD PTR DS:[ESI+47934]
0044623E   >  61            POPAD
0044623F   .- E9 D405FEFF   JMP ex1402.00426818
最后一行有个"-" 按 F4 程序运行到这 然后再按F8就到出口了

UPX的壳好象直接搜索POPAD，就能找到OEP了
用ESP定律也可以的。


其实是同一种方法/:017

LM苍蝇

呵呵
差不多啦

609358291

楼上的都没看清楚，这个是个变异壳，用esp定律是脱不了的

rchedu

这种壳一般都加一两种壳，而且是有自校验的。要和原程序对比着去除自校验。