脱 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的问题
仙剑四 激活码好难弄就学习破解查到仙剑 安装目录下的 PAL4ExtendP.exe文件是
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
的壳
大哥们可以帮忙教下
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
是怎么脱的吗?
有人说用 peid 可以脱掉 我用了不行 头大了 帮帮我!!!!!
/:002 /:002 /:002 /:002 /:002 /:002 /:002 /:002 /:002 /:002 呵呵 这个壳好办
运行OD后 直接往下找 找到一个"-"符号上 如:
00446233 .83C3 04 ADD EBX,4
00446236 .^ EB E1 JMP SHORT ex1402.00446219
00446238 >FF96 34790400 CALL DWORD PTR DS:
0044623E >61 POPAD
0044623F .- E9 D405FEFF JMP ex1402.00426818
最后一行有个"-" 按 F4 程序运行到这 然后再按F8就到出口了 UPX的壳好象直接搜索POPAD,就能找到OEP了
用ESP定律也可以的。
感觉UPX的壳很好脱,是我第一个学脱的壳。LZ可以自己先给记事本加个UPX的壳,和未加壳的源程序比对一下。/:001 我这个方法很简单 但没什么依据
这个是我脱了好多遍发现的也不算什么 只不过是个小聪明
如果查到是 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 这个壳
我试了 99%都能脱了
这个方法只针对UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 这个壳的 发表于 2007-8-7 12:51资料短消息加为好友
呵呵 这个壳好办
运行OD后 直接往下找 找到一个"-"符号上 如:
00446233 .83C3 04 ADD EBX,4
00446236 .^ EB E1 JMP SHORT ex1402.00446219
00446238 >FF96 34790400 CALL DWORD PTR DS:
0044623E >61 POPAD
0044623F .- E9 D405FEFF JMP ex1402.00426818
最后一行有个"-" 按 F4 程序运行到这 然后再按F8就到出口了
UPX的壳好象直接搜索POPAD,就能找到OEP了
用ESP定律也可以的。
其实是同一种方法/:017 呵呵
差不多啦 楼上的都没看清楚,这个是个变异壳,用esp定律是脱不了的 这种壳一般都加一两种壳,而且是有自校验的。要和原程序对比着去除自校验。
页:
[1]
2