求助--脱一个UPX壳
本人用了三种方法怎么脱出来,用PEiD查还是什么都查不到,估计还是没有脱?请高手帮忙看一下,代码在下面004AF01A 57 push edi
004AF01B FFD5 call ebp
004AF01D 58 pop eax
004AF01E 61 popad
004AF01F 8D4424 80 lea eax,dword ptr ss: EPS定律法跟到这
004AF023 6A 00 push 0
004AF025 39C4 cmp esp,eax
004AF027^ 75 FA jnz short 定时关机.004AF023
004AF029 83EC 80 sub esp,-80
004AF02C- E9 EF84F6FF jmp 定时关机.00417520跟到这里,再向下单步跟一下
00417515 B8 FF000000 mov eax,0FF
0041751A E8 16190000 call 定时关机.00418E35
0041751F C3 retn
00417520 E8 C4AF0000 call 定时关机.004224E9 到这个地方便脱壳了
00417525^ E9 79FEFFFF jmp 定时关机.004173A3
0041752A 8BFF mov edi,edi
0041752C 55 push ebp
0041752D 8BEC mov ebp,esp
0041752F 8BC1 mov eax,ecx
00417531 8B4D 08 mov ecx,dword ptr ss:
00417534 C700 88DA4700 mov dword ptr ds:,定时关机.0047DA88
0041753A 8B09 mov ecx,dword ptr ds:
0041753C 8360 08 00 and dword ptr ds:,0
00417540 8948 04 mov dword ptr ds:,ecx
00417543 5D pop ebp
00417544 C2 0800 retn 8 你的PEID得更新了,去找那个冒热气的PEID数据库试试 原帖由 kulo 于 2008-9-5 15:54 发表 https://www.chinapyg.com/images/common/back.gif
你的PEID得更新了,去找那个冒热气的PEID数据库试试
楼上的朋友,问一下,我所在的地主脱壳对不对? /:002 可能是UPX高版本壳
00417520 E8 C4AF0000 call 定时关机.004224E9
你是在这脱壳,但这里显然不是常见入口特征,我见过一个UPX是要到下面再脱壳
00417525^ E9 79FEFFFF jmp 定时关机.004173A3试试在这里F8之后脱壳
不排除有2层壳的情况,有问题的话还是推荐把exe发上来 看了一下代码感觉楼主应该脱的不对吧没脱壳之前PEID查到的是什么啊? 不要太过于相信PEID!
把程序发上来吧
把程序发上来吧,可以测试下 原帖由 honkerbase 于 2008-9-6 08:57 发表 https://www.chinapyg.com/images/common/back.gif把程序发上来吧,可以测试下
权限不够,,附件大了,真郁闷~~~~ 发不上来,我该怎么办?
[ 本帖最后由 孤星云鹤 于 2008-9-6 18:20 编辑 ] 定时关机?
定时关机3000?
原版还是破解版?
原版是ASProtect 2.x
破解版是PECompact 2.9x
/:014
用WINRAR分割下
原帖由 honkerbase 于 2008-9-6 08:57 发表 https://www.chinapyg.com/images/common/back.gif把程序发上来吧,可以测试下
用WINRAR分割下
页:
[1]
2