非一般的UPX壳，尝试N次未果！

sekmart

对于一般的upx手脱很容易，这个搞了好几天搞不定

查壳是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo,跟普通的不一样，怎么也剥不掉外衣~~~

大侠们帮弄弄，说说怎么搞法！~

附件在网盘，帮看看谢了~~！/:002


http://www.rayfile.com/files/9d692fa1-acef-11de-9604-0014221b798a/

[ 本帖最后由 MOV 于 2009-9-29 20:37 编辑 ]

MOV

E Language -> WuTao * Sign.By.fly */:011  esp定律法搞定  二次就行

00416044     52                  push edx
00416045     56                  push esi          这里第二次ESP定律                             ; kernel32.7C839AA8  
00416046     83CE 0C             or esi,0C
00416049     57                  push edi
0041604A     50                  push eax
0041604B     53                  push ebx
0041604C     51                  push ecx
0041604D   ^ 0F85 D9FFFFFF       jnz main.0041602C
00416053     B9 55EACD72         mov ecx,72CDEA55
00416058     0867 D7             or byte ptr ds:[edi-29],ah
0041605B     1035 0BAD8B16       adc byte ptr ds:[168BAD0B],dh
00416061     B7 FB               mov bh,0FB
楼上好像没有用心看噢

[ 本帖最后由 MOV 于 2009-9-29 20:35 编辑 ]

sekmart

/:001 ,谢谢呀，哎，没想到二次esp，

E Language -> WuTao   * Sign.By.fly *

sekmart

问题解决啊，利用2次esp搞定


E Language -> WuTao   * Sign.By.fly *   /:017 /:017  锁帖