求助双重壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

MOV

程序入口：
004BCF40 > $  60            pushad
004BCF41   .  BE 00604800   mov     esi, 00486000
004BCF46   .  8DBE 00B0F7FF lea     edi, dword ptr [esi+FFF7B000]
004BCF4C   .  57            push    edi
004BCF4D   .  EB 0B         jmp     short 004BCF5A
一看就知道是UPX的
但是找第一个壳OEP的时候程序是这样的
004BD0DF   .  8D4424 80     lea     eax, dword ptr [esp-80]
004BD0E3   >  6A 00         push    0
004BD0E5   .  39C4          cmp     esp, eax
004BD0E7   .^ 75 FA         jnz     short 004BD0E3
004BD0E9   .  83EC 80       sub     esp, -80
004BD0EC   .- E9 ED7AF9FF   jmp     00454BDE  这里进去以后
变成这样了
00454BD3    B8 FF000000     mov     eax, 0FF
00454BD8    E8 14190000     call    004564F1
00454BDD    C3              retn
00454BDE    E8 8EA50000     call    0045F171  进去后在这里
00454BE3  ^ E9 16FEFFFF     jmp     004549FE
00454BE8    C3              retn
00454BE9    B8 92FC4500     mov     eax, 0045FC92
00454BEE    A3 282D4700     mov     dword ptr [472D28], eax
不在是UPX入口的形式啊
到这里我就不怎么改怎么办了
大家帮忙看下  文件下载地址：http://www.namipan.com/d/7346e01 ... f8b4c21eb0d38538901

[ 本帖最后由 MOV 于 2008-8-26 10:26 编辑 ]

峰云星炫

找个网盘 传不就可以了。

小生我怕怕

程序24M,可真是不小啊!

aj3423

鸟网盘 下不了 建议只上传exe到其他网盘

MOV

大家先看看吧
能不能脱掉
不能下可以问我要QQ365878627

小生我怕怕

http://www.rayfile.com/zh-cn/
把程序传到这里我帮你看看!

MOV

谢谢上楼的朋友http://www.rayfile.com/files/0d7 ... -8dea-0014221b798a/
只要把 脱壳的文件是什么语言或OEP发出给我就可以了发出来给我就可以了谢谢

[ 本帖最后由 MOV 于 2008-8-29 08:02 编辑 ]

aj3423

upx 壳
od载入往下拉 拉到
004BD0EC  - E9 ED7AF9FF     jmp     00454BDE
这里F2下断， shift+F9运行，断下，F8单步来到
00454BDE    E8 8EA50000     call    0045F171         这里F8过
00454BE3  ^ E9 16FEFFFF     jmp     004549FE         这里跳向oep

vc7程序，这个upx可能是高版本的
到oep -> dump -> 修复iat -> 处理overlay -> ok

MOV

OK
你脱了壳查的时候还是UPX的吗？？？？？

aj3423

不能完全靠peid，你知道没壳就ok