PEID检测结果是 用DEEPSCAN才扫到 UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
想想UPX壳吗 简单 直接ESP就好了
进入XP 虚拟机,这壳奇葩就奇葩在
0040B230 > $ 60 pushad
0040B231 . BE 00A04000 mov esi,oLUA.0040A000 -----ESP下断
0040B236 . 8DBE 0070FFFF lea edi,dword ptr ds:[esi+0xFFFF7000]
0040B23C . 57 push edi
0040B23D . EB 0B jmp XoLUA.0040B24A
0040B23F 90 nop
0040B240 > 8A06 mov al,byte ptr ds:[esi]
0040B242 . 46 inc esi
0040B243 . 8807 mov byte ptr ds:[edi],al
0040B245 . 47 inc edi
0040B246 > 01DB add ebx,ebx
0040B248 . 75 07 jnz XoLUA.0040B251
然后F9到这里
0040B3D7 . 8D4424 80 lea eax,dword ptr ss:[esp-0x80]
0040B3DB > 6A 00 push 0x0
0040B3DD . 39C4 cmp esp,eax
0040B3DF .^ 75 FA jnz XoLUA.0040B3DB 这里F4跳过了
0040B3E1 . 83EC 80 sub esp,-0x80
0040B3E4 .- E9 1168FFFF jmp oLUA.00401BFA F8进去以后发现是这个玩意
0040B3E9 00 db 00
00401BFA E8 7A040000 call oLUA.00402079
00401BFF ^ E9 B3FDFFFF jmp oLUA.004019B7
00401C04 8BFF mov edi,edi
00401C06 55 push ebp
00401C07 8BEC mov ebp,esp
00401C09 81EC 28030000 sub esp,0x328
00401C0F A3 40414000 mov dword ptr ds:[0x404140],eax
00401C14 890D 3C414000 mov dword ptr ds:[0x40413C],ecx
变成这样的东西了 然后就没有然后了 一路F8到这里。。
004019B7 6A 10 push 0x10
004019B9 68 E0334000 push oLUA.004033E0
004019BE E8 0D060000 call oLUA.00401FD0
004019C3 33DB xor ebx,ebx
004019C5 391D 2C454000 cmp dword ptr ds:[0x40452C],ebx
004019CB 75 0B jnz XoLUA.004019D8
004019CD 53 push ebx
004019CE 53 push ebx
004019CF 6A 01 push 0x1
004019D1 53 push ebx
004019D2 FF15 78304000 call dword ptr ds:[0x403078] ; kernel32.HeapSetInformation
004019D8 895D FC mov dword ptr ss:[ebp-0x4],ebx
004019DB 64:A1 18000000 mov eax,dword ptr fs:[0x18]
004019E1 8B70 04 mov esi,dword ptr ds:[eax+0x4]
004019E4 895D E4 mov dword ptr ss:[ebp-0x1C],ebx
004019E7 BF 20454000 mov edi,oLUA.00404520
004019EC 53 push ebx
004019ED 56 push esi
004019EE 57 push edi
然后你随便DUMP,发现已经没壳了也可以运行了,仅限XP。。。到了WIN7直接报错
尝试在12B0位置DUMP 其实已经看到程序里面的跳转网页的代码了,DUMP后PEID依然显示NOTHINE。。但是仔细看看已经没壳,IMPORTREC随便怎么修复 都无法再WIN7下运行,
菜鸟一枚 无奈来求助!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
