网站 › ≮ 脱壳求助 ≯ › [求助]谁帮忙看看这个壳

cocoboy 发表于 2008-11-1 09:25:03

[求助]谁帮忙看看这个壳

昨天忘记把附件传上来了。今天补上，大家帮忙看看。昨天的帖子：https://www.chinapyg.com/viewthread.php?tid=41584&extra=page%3D1。

峰云星炫 发表于 2008-11-1 11:11:53

查找所有命令   popad


004861E4    61            POPAD
004861E5    8D4424 80       LEA EAX,DWORD PTR SS:
004861E9    6A 00         PUSH 0
004861EB    39C4            CMP ESP,EAX
004861ED^ 75 FA         JNZ SHORT webshot.004861E9
004861EF    83EC 80         SUB ESP,-80
004861F2- E9 BD25FBFF   JMP webshot.004387B4            // 应该就是这里了
004861F7    0048 00         ADD BYTE PTR DS:,CL
004861FA    0000            ADD BYTE PTR DS:,AL
004861FC    0000            ADD BYTE PTR DS:,AL
004861FE    0000            ADD BYTE PTR DS:,AL

[ 本帖最后由 峰云星炫 于 2008-11-1 11:13 编辑 ]

小生我怕怕 发表于 2008-11-1 12:24:19

脱壳后有一处效验,已经解决掉啦,这个是脱好壳去掉效验的!

km159 发表于 2008-11-1 12:32:40

小生好快，我也来个~

小生好快，我也来个

我对这种脱了壳还提示有壳的程序不知道怎么修复，期待大牛解答
我看了小生的，也是还提示有壳

[ 本帖最后由 km159 于 2008-11-1 12:58 编辑 ]

hflywolf 发表于 2008-11-1 13:25:19

原帖由 cocoboy 于 2008-11-1 09:25 发表 https://www.chinapyg.com/images/common/back.gif
昨天忘记把附件传上来了。今天补上，大家帮忙看看。昨天的帖子：https://www.chinapyg.com/viewthread.php?tid=41584&extra=page%3D1。

脱壳后有自校验~~~~
顺便说一下:小生兄的文件在我这里打开没反应.......

三处自校验
第一处:检测区段名
0041ED49|> \81BD 6CE9FFFF>cmp   dword ptr , 21585055   ;UPX!,如果不是就跳走....
0041ED53|.75 53         jnz   short 0041EDA8

第二处:将123C3C0经过运算的值与第一个区段名的ASCALL值比较
0041EFC1    8B85 78E9FFFF   mov   eax, dword ptr       
0041EFC7    3B85 64E9FFFF   cmp   eax, dword ptr       ;判断和的值是否相等
0041EFCD    75 14         jnz   short 0041EFE3                   ;不等,跳到弹出出错窗口

第三处:将123C3C0与文件名的ASCALL值经过运算后得的值与第二个区段名的ASCALL值比较
0041EFD5    8B85 74E9FFFF   mov   eax, dword ptr       
0041EFDB    3B85 68E9FFFF   cmp   eax, dword ptr       '判断和的值是否相等
0041EFE1    74 3A         je      short 0041F01D                   ;不相等,就走向弹出出错窗口


最后说一下,脱壳后点击start按钮后会有如图所示BUG,,懒得修复了.
LZ有兴趣的话可以去看雪论坛看一下最近举办活动中的第一阶段的第三题
搜一下大牛们写的解决方案好了.....



[ 本帖最后由 hflywolf 于 2008-11-1 14:42 编辑 ]

km159 发表于 2008-11-1 13:36:48

原帖由 hflywolf 于 2008-11-1 13:25 发表 https://www.chinapyg.com/images/common/back.gif


脱壳后有自校验~~~~
随便说一下:小生兄的文件在我这里打开没反应.......

三处自校验
第一处:
0041ED49|> \81BD 6CE9FFFF>cmp   dword ptr , 21585055   ;UPX!,如果不是就跳走....
0041ED53 ...


高人！~

小生我怕怕 发表于 2008-11-1 14:10:30

原帖由 hflywolf 于 2008-11-1 13:25 发表 https://www.chinapyg.com/images/common/back.gif


脱壳后有自校验~~~~
顺便说一下:小生兄的文件在我这里打开没反应.......

三处自校验
第一处:
0041ED49|> \81BD 6CE9FFFF>cmp   dword ptr , 21585055   ;UPX!,如果不是就跳走....
0041ED53 ...
的确强大,我这里本来有一处效验的脱壳后,但是去掉啦,实在佩服,作者的构思的确强大!
下面是我脱壳的,没有注意检查错误,呵呵,但是能打开的!


[ 本帖最后由 小生我怕怕 于 2008-11-1 14:13 编辑 ]

E-Packer 发表于 2008-11-1 16:11:56

完整修复一份，程序看入口特征是VC++8.0 但是看连接器版本是9.0 所以应该是 VC++ 9

                                             ------By:rEn22gE<Ereg><Peeler>

km159 发表于 2008-11-1 16:45:45

原帖由 E-Packer 于 2008-11-1 16:11 发表 https://www.chinapyg.com/images/common/back.gif
完整修复一份，程序看入口特征是VC++8.0 但是看连接器版本是9.0 所以应该是 VC++ 9

                                             ------By:rEn22gE






膜拜！~

cocoboy 发表于 2008-11-2 08:46:12

非常感谢各位的帮忙，PYG真实个好地方啊，有这么人帮忙。

查看完整版本: [求助]谁帮忙看看这个壳