飘云阁一个UPX壳郁闷几天 - Powered by Discuz! Archiver

sekmart 发表于 2009-10-6 20:35:46

一个UPX壳郁闷几天

这个upx壳，搞了好几次都没结果，脱壳了修复也不能运行，大侠门看看~!/:010

http://www.rayfile.com/files/b06b2685-b274-11de-b2e3-0014221b798a/

MOV 发表于 2009-10-6 21:19:40

先把你分析的文章发出来看看

sjh717142 发表于 2009-10-6 21:20:46

贴出程序入口处代码

及Peid查壳截图，包括区段

当然有你的分析最好

sun50 发表于 2009-10-7 06:45:31

软件好像有自校验

[ 本帖最后由 sun50 于 2009-10-7 08:11 编辑 ]

HDd1145 发表于 2009-10-7 08:08:16

sekmart 发表于 2009-10-7 08:19:02

行，我把脱壳的放上去，免得你们这样说我

==========
peid查壳：
文件:D:\桌面资料\10.3\5418115\54181151.exe ...
入口点:000ABE90                UPXEP 1 区段: >
文件偏移:00065290                   首字节:60,BE,00,70 >
      7.0                      子系统:Win32 GUI >
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

区段表：
名称    V. 偏...V. 大小R. 偏...R. 大小标志
UPX0    0000100000046000 00000400 00000000 C0000080
UPX1    0004700000065000 00000400 00065000 E0000040
.rsrc 000AC00000004000 00065400 00003600 C0000040

OD载入停在入口：
004ABE90 60       pushad          //程序入口处
004ABE91BE 00704400mov esi,54181151.00447000 //F8单步到这，寄存器esp突显，用esp定律
004ABE968DBE 00A0FBFFlea edi,dword ptr ds:
004ABE9C57       push edi
004ABE9D83CD FF    or ebp,FFFFFFFF
004ABEA0EB 10    jmp short 54181151.004ABEB2

下断点F9运行到这里：
004ABFEDE9 1644F9FFjmp 54181151.00440408 //停在这里，这里直接跳到oep,F8单步
004ABFF20000       add byte ptr ds:,al
004ABFF40000       add byte ptr ds:,al
004ABFF60000       add byte ptr ds:,al
004ABFF80000       add byte ptr ds:,al
004ABFFA0000       add byte ptr ds:,al

F8单步到oep:
00440408 .6A 70 push 70 //程序入口点，oep
0044040A .68 B8154400push 54181151.004415B8
0044040F ?E8 04030000call 54181151.00440718
00440414 .33DB    xor ebx,ebx
00440416 .53       push ebx
00440417 ?8B3D B0104400mov edi,dword ptr ds:
0044041D ?FFD7    call edi
0044041F ?66:8138 4D5Acmp word ptr ds:,5A4D
00440424 .75 1F    jnz short 54181151.00440445

LordPE脱壳，修复程序~~~（还有我手动查找了下 IAT，可是找不准，请大侠指点下）
peid查壳：Microsoft Visual C++ 7.0 Method2

运行程序提示：文件损坏或者缺少dll文件

下过CreateFileA短点，看起来好像有自校验~~！

[ 本帖最后由 sekmart 于 2009-10-7 09:00 编辑 ]

MOV 发表于 2009-10-7 13:24:45

观望了在IAI修复上有问题

HDd1145 发表于 2009-10-7 13:30:52

20602060 发表于 2009-10-11 10:19:00

应该是有自验效.

20602060 发表于 2009-10-11 12:20:41

刚看了下.自验校在某个DLL中.楼主自己跟进下..

页: [1] 2

飘云阁's Archiver

一个UPX壳郁闷几天