求高人脱壳UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
答案:2 悬赏:0 手机版
解决时间 2021-03-27 13:29
- 提问者网友:泪痣哥哥
- 2021-03-27 10:27
求高人脱壳UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
最佳答案
- 五星知识达人网友:慢性怪人
- 2021-03-27 11:45
不是双壳是个伪装壳
是个VB的程序
抽取了OEP
如果用UPX脱壳机脱壳后就会出现Morphine 1.2 - 1.3 -> rootkit
偶们电脑运行不了程序不知道脱壳成功没有:)
OD你应该会用吧!
00505640 W> 60 pushad//入口停在这里
00505641 BE 00004800 mov esi,WBWallPa.00480000
00505646 8DBE 0010F8FF lea edi,dword ptr ds:[esi+FFF81000]
向下查找
005057EF ^\75 FA jnz short WBWallPa.005057EB
005057F1 83EC 80 sub esp,-80
005057F4 - E9 47CCEFFF jmp WBWallPa.00402440//设置右键执行断点 shift+f9运行到这里 F8进入
005057F9 0000 add byte ptr ds:[eax],al
005057FB 0000 add byte ptr ds:[eax],al
005057FD 0000 add byte ptr ds:[eax],al
005057FF 0000 add byte ptr ds:[eax],al
00402438 - FF25 B8124000 jmp dword ptr ds:[4012B8] ; MSVBVM60.ThunRTMain
0040243E 0000 add byte ptr ds:[eax],al
00402440 68 D3D8D6BF push BFD6D8D3//OK停在这里汇编
00402445 - E9 FCFB0F00 jmp WBWallPa.00502046
0040244A 0000 add byte ptr ds:[eax],al
0040244C 0000 add byte ptr ds:[eax],al
0040244E 0000 add byte ptr ds:[eax],al
汇编后
00402438 - FF25 B8124000 jmp dword ptr ds:[4012B8] ; MSVBVM60.ThunRTMain
0040243E 0000 add byte ptr ds:[eax],al
00402440 68 28294000 push WBWallPa.00402928//OK脱壳
00402445 E8 EEFFFFFF call
0040244A 0000 add byte ptr ds:[eax],al
0040244C 0000 add byte ptr ds:[eax],al
0040244E 0000 add byte ptr ds:[eax],al
运行错误!~用importREC修复洛如果再运行不了那就手动查找RAV修复
不知道对不对
反正那个加壳程序在偶们电脑也运行不了
是个VB的程序
抽取了OEP
如果用UPX脱壳机脱壳后就会出现Morphine 1.2 - 1.3 -> rootkit
偶们电脑运行不了程序不知道脱壳成功没有:)
OD你应该会用吧!
00505640 W> 60 pushad//入口停在这里
00505641 BE 00004800 mov esi,WBWallPa.00480000
00505646 8DBE 0010F8FF lea edi,dword ptr ds:[esi+FFF81000]
向下查找
005057EF ^\75 FA jnz short WBWallPa.005057EB
005057F1 83EC 80 sub esp,-80
005057F4 - E9 47CCEFFF jmp WBWallPa.00402440//设置右键执行断点 shift+f9运行到这里 F8进入
005057F9 0000 add byte ptr ds:[eax],al
005057FB 0000 add byte ptr ds:[eax],al
005057FD 0000 add byte ptr ds:[eax],al
005057FF 0000 add byte ptr ds:[eax],al
00402438 - FF25 B8124000 jmp dword ptr ds:[4012B8] ; MSVBVM60.ThunRTMain
0040243E 0000 add byte ptr ds:[eax],al
00402440 68 D3D8D6BF push BFD6D8D3//OK停在这里汇编
00402445 - E9 FCFB0F00 jmp WBWallPa.00502046
0040244A 0000 add byte ptr ds:[eax],al
0040244C 0000 add byte ptr ds:[eax],al
0040244E 0000 add byte ptr ds:[eax],al
汇编后
00402438 - FF25 B8124000 jmp dword ptr ds:[4012B8] ; MSVBVM60.ThunRTMain
0040243E 0000 add byte ptr ds:[eax],al
00402440 68 28294000 push WBWallPa.00402928//OK脱壳
00402445 E8 EEFFFFFF call
0040244A 0000 add byte ptr ds:[eax],al
0040244C 0000 add byte ptr ds:[eax],al
0040244E 0000 add byte ptr ds:[eax],al
运行错误!~用importREC修复洛如果再运行不了那就手动查找RAV修复
不知道对不对
反正那个加壳程序在偶们电脑也运行不了
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯