用PEID查不到壳名称，请教怎么处理？

lqiulu

删除硬件断点，然后在0041BD52   .- E9 0953FEFF   JMP SimpleTV.00401060 F4，再单步就OK了。
修复后没问题。正常运行。

月之精灵

0041BD52   .- E9 0953FEFF   JMP SimpleTV.00401060
OEP应该在00401060吧。建议下载PYG07教程认真看下。

km159

0041BD49  不是OEP

00401060才是……upx1X的壳是不用过JMP的，3X后都是过JMP才是OEP

差壳器是不分版本的

boxect

原帖由 km159 于 2008-10-22 19:49 发表
0041BD49  不是OEP

00401060才是……upx1X的壳是不用过JMP的，3X后都是过JMP才是OEP

差壳器是不分版本的

不明白，不用过JMP的话那在哪里脱呢？
0041BD52   .- E9 0953FEFF   JMP SimpleTV.00401060   是这里吗啊？在这里脱壳倒是可以运行，但是PEID还是显示什么都没找到，
JMP过了后在    00401060    68 78664000     push    00406678    这里脱能查到是VB的。

还有这个是怎么判断是UPX1X还是3X后的呢？

km159

peid只是显示upx0.89-3.x的
早期版本和3X的区别就是




0041BD49   >  6A 00         PUSH 0               -------早期版本这里就是oep了
0041BD4B   .  39C4          CMP ESP,EAX
0041BD4D   .^ 75 FA         JNZ SHORT SimpleTV.0041BD49
0041BD4F   .  83EC 80       SUB ESP,-80
0041BD52   .- E9 0953FEFF   JMP SimpleTV.00401060         ------3X的要过了这个JMP以后才是oep

ESP定律F9运行以后看有没有JMP跳转。有跳转就跳了脱，没跳转就直接脱

[ 本帖最后由 km159 于 2008-10-23 08:29 编辑 ]

boxect

谢谢楼上及楼上各位朋友的帮助。

噺手丄蕗

UPX -> www.upx.sourceforge.net *
明显的UPX变形壳。LZ更新下签名档了~~~~
ESP定律大跳后，在类似OEP的下方还有一大跳........

rxzcums

upx unpacked

toufyqin

esp直接脱,我发现这个壳快到oep时会有个死循环,脱了几个都是这样,一般就是找到最近一个大跳,然后直接F4到该jmp,再F8单步一下就到oep了
PS:这个小东东看视频还真不错呢,速度挺快的.

[ 本帖最后由 toufyqin 于 2008-10-28 22:40 编辑 ]

小生我怕怕

楼主只要一个ESP定律就可以解决掉啦!