求助--脱一个UPX壳

孤星云鹤

本人用了三种方法怎么脱出来,用PEiD查还是什么都查不到,估计还是没有脱?请高手帮忙看一下,代码在下面


004AF01A    57              push edi
004AF01B    FFD5            call ebp
004AF01D    58              pop eax
004AF01E    61              popad
004AF01F    8D4424 80       lea eax,dword ptr ss:[esp-80]   EPS定律法跟到这
004AF023    6A 00           push 0
004AF025    39C4            cmp esp,eax
004AF027  ^ 75 FA           jnz short 定时关机.004AF023
004AF029    83EC 80         sub esp,-80
004AF02C  - E9 EF84F6FF     jmp 定时关机.00417520  跟到这里,再向下单步跟一下
00417515    B8 FF000000     mov eax,0FF
0041751A    E8 16190000     call 定时关机.00418E35
0041751F    C3              retn
00417520    E8 C4AF0000     call 定时关机.004224E9 到这个地方便脱壳了
00417525  ^ E9 79FEFFFF     jmp 定时关机.004173A3
0041752A    8BFF            mov edi,edi
0041752C    55              push ebp
0041752D    8BEC            mov ebp,esp
0041752F    8BC1            mov eax,ecx
00417531    8B4D 08         mov ecx,dword ptr ss:[ebp+8]
00417534    C700 88DA4700   mov dword ptr ds:[eax],定时关机.0047DA88
0041753A    8B09            mov ecx,dword ptr ds:[ecx]
0041753C    8360 08 00      and dword ptr ds:[eax+8],0
00417540    8948 04         mov dword ptr ds:[eax+4],ecx
00417543    5D              pop ebp
00417544    C2 0800         retn 8

kulo

你的PEID得更新了，去找那个冒热气的PEID数据库试试

孤星云鹤

原帖由 kulo 于 2008-9-5 15:54 发表
你的PEID得更新了，去找那个冒热气的PEID数据库试试

楼上的朋友,问一下,我所在的地主脱壳对不对? /:002

aj3423

可能是UPX高版本壳
00417520    E8 C4AF0000     call 定时关机.004224E9  
你是在这脱壳，但这里显然不是常见入口特征，我见过一个UPX是要到下面再脱壳
00417525  ^ E9 79FEFFFF     jmp 定时关机.004173A3  试试在这里F8之后脱壳

不排除有2层壳的情况，有问题的话还是推荐把exe发上来

傻人有傻福

看了一下代码  感觉楼主应该脱的不对吧  没脱壳之前PEID查到的是什么啊？

小生我怕怕

不要太过于相信PEID!

honkerbase

把程序发上来吧,可以测试下

孤星云鹤

原帖由 honkerbase 于 2008-9-6 08:57 发表
把程序发上来吧,可以测试下

权限不够,,附件大了,真郁闷~~~~ 发不上来,我该怎么办?

[ 本帖最后由 孤星云鹤 于 2008-9-6 18:20 编辑 ]

kungbim

定时关机？
定时关机3000？
原版还是破解版？
原版是ASProtect 2.x
破解版是PECompact 2.9x
/:014

honkerbase

原帖由 honkerbase 于 2008-9-6 08:57 发表
把程序发上来吧,可以测试下

用WINRAR分割下