[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 0.00雪花

发表于: 2008-3-20 00:27 9439

[旧帖] [求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 0.00雪花

蝙蝠侠

2008-3-20 00:27

9439

“英语口语对话王”使用的是：
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 加的的壳，
下载地址是：5fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0F1L8r3W2F1k6h3c8G2N6$3&6Q4x3X3g2F1k6i4c8Q4x3V1k6K6L8$3k6@1i4K6u0r3x3U0p5&6x3o6u0Q4x3X3g2Z5N6r3@1`.
            或601K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5P5W2)9J5k6h3y4G2L8g2)9J5c8Y4y4G2k6Y4c8Q4x3V1j5K6y4U0t1^5i4K6u0W2K9s2c8E0L8l9`.`.
但是用 ESP定律手动脱壳、单步跟踪（最常见的方法）脱壳均不能完成，找到的OEP根本不对！

经典教程只有一处与“英语口语对话王”的代码不一样！
经典教程的程序代码：
0040E9C4 E2 D9                loopd short NOTEPAD.0040E99F //要往回跳了
0040E9C6 8DBE 00C00000 lea edi,dword ptr ds:[esi+C000>  //这里F4，继续F8

而“英语口语对话王”的代码是：
00659650 E2 D9       LOOPD SHORT SpokenKi.0065962B
00659652 5F             POP EDI
00659653 8B07          MOV EAX,DWORD PTR DS:[EDI]
00659655 09C0       OR EAX,EAX

请前辈指教！！！

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・1

免费・0

支持

最新回复 (9)
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 2 楼去下载个VMUNPACKER脱壳机就搞定了貌似程序有自校验？？ 2008-3-20 00:46 0
我爱我家雪币： 225 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 1 关注私信	我爱我家 3 楼 ESP定律可以到达OEP，你可能没找对，这个软件安装后在我的机器上不能运行，没有仔细测试。 2008-3-20 10:15 0
蝙蝠侠雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	蝙蝠侠 4 楼用VMUNPACKER脱壳机脱壳后不能运行，用IMPOTREC修复也不能运行，好像没有自效验！ 2008-3-20 15:32 0
蝙蝠侠雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	蝙蝠侠 5 楼 ESP定律到达OEP ，但是代码不对，代码还是压缩的！ 2008-3-20 15:33 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 6 楼都告诉你有自校验了害得我还重新下载安装了一边。。。正常ESP定律脱壳貌似需要手动查找IAT 反正我是手动才找到的。。程序名有一个校验不知道在哪没找把脱壳文件改成原程序名就可以了最简单的找个文件属性修改工具把修改时间和创建时间改成一样的就可以了程序会校验创建时间和修改时间没仔细看（仔细看也不一定能看懂）这个程序好像把时间这个比较5遍。。。我要会编程打死我也不能这么写去掉自校验以后使用就到期了。。。不知道为什么校验的代码 005AD239 . E8 727DE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD23E . 0F85 88010000 jnz SpokenKi.005AD3CC ; 不一样就跳 005AD244 . 8D95 64FFFFFF lea edx,dword ptr ss:[ebp-9C] 005AD24A . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD24F . 8B00 mov eax,dword ptr ds:[eax] 005AD251 . E8 FA43EDFF call SpokenKi.00481650 005AD256 . 8B85 64FFFFFF mov eax,dword ptr ss:[ebp-9C] 005AD25C . 8D95 68FFFFFF lea edx,dword ptr ss:[ebp-98] 005AD262 . E8 E95BF9FF call SpokenKi.00542E50 005AD267 . 8B85 68FFFFFF mov eax,dword ptr ss:[ebp-98] 005AD26D . 50 push eax 005AD26E . 8B8E 74010000 mov ecx,dword ptr ds:[esi+174] 005AD274 . 8D85 5CFFFFFF lea eax,dword ptr ss:[ebp-A4] 005AD27A . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD280 . E8 2B7CE5FF call SpokenKi.00404EB0 005AD285 . 8B85 5CFFFFFF mov eax,dword ptr ss:[ebp-A4] 005AD28B . 8D95 60FFFFFF lea edx,dword ptr ss:[ebp-A0] 005AD291 . E8 BA5BF9FF call SpokenKi.00542E50 005AD296 . 8B95 60FFFFFF mov edx,dword ptr ss:[ebp-A0] 005AD29C . 58 pop eax 005AD29D . E8 0E7DE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD2A2 . 0F85 24010000 jnz SpokenKi.005AD3CC ; 不一样就跳 005AD2A8 . 8D95 54FFFFFF lea edx,dword ptr ss:[ebp-AC] 005AD2AE . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD2B3 . 8B00 mov eax,dword ptr ds:[eax] 005AD2B5 . E8 9643EDFF call SpokenKi.00481650 005AD2BA . 8B85 54FFFFFF mov eax,dword ptr ss:[ebp-AC] 005AD2C0 . 8D95 58FFFFFF lea edx,dword ptr ss:[ebp-A8] 005AD2C6 . E8 855BF9FF call SpokenKi.00542E50 005AD2CB . 8B85 58FFFFFF mov eax,dword ptr ss:[ebp-A8] 005AD2D1 . 50 push eax 005AD2D2 . 8B8E 70010000 mov ecx,dword ptr ds:[esi+170] 005AD2D8 . 8D85 4CFFFFFF lea eax,dword ptr ss:[ebp-B4] 005AD2DE . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD2E4 . E8 C77BE5FF call SpokenKi.00404EB0 005AD2E9 . 8B85 4CFFFFFF mov eax,dword ptr ss:[ebp-B4] 005AD2EF . 8D95 50FFFFFF lea edx,dword ptr ss:[ebp-B0] 005AD2F5 . E8 565BF9FF call SpokenKi.00542E50 005AD2FA . 8B95 50FFFFFF mov edx,dword ptr ss:[ebp-B0] 005AD300 . 58 pop eax 005AD301 . E8 AA7CE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD306 . 0F85 C0000000 jnz SpokenKi.005AD3CC ; 不一样就跳 005AD30C . 8D95 44FFFFFF lea edx,dword ptr ss:[ebp-BC] 005AD312 . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD317 . 8B00 mov eax,dword ptr ds:[eax] 005AD319 . E8 3243EDFF call SpokenKi.00481650 005AD31E . 8B85 44FFFFFF mov eax,dword ptr ss:[ebp-BC] 005AD324 . 8D95 48FFFFFF lea edx,dword ptr ss:[ebp-B8] 005AD32A . E8 215BF9FF call SpokenKi.00542E50 005AD32F . 8B85 48FFFFFF mov eax,dword ptr ss:[ebp-B8] 005AD335 . 50 push eax 005AD336 . 8B8E 90030000 mov ecx,dword ptr ds:[esi+390] 005AD33C . 8D85 3CFFFFFF lea eax,dword ptr ss:[ebp-C4] 005AD342 . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD348 . E8 637BE5FF call SpokenKi.00404EB0 005AD34D . 8B85 3CFFFFFF mov eax,dword ptr ss:[ebp-C4] 005AD353 . 8D95 40FFFFFF lea edx,dword ptr ss:[ebp-C0] 005AD359 . E8 F25AF9FF call SpokenKi.00542E50 005AD35E . 8B95 40FFFFFF mov edx,dword ptr ss:[ebp-C0] 005AD364 . 58 pop eax 005AD365 . E8 467CE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD36A . 75 60 jnz short SpokenKi.005AD3CC ; 不一样就跳 005AD36C . 8D95 34FFFFFF lea edx,dword ptr ss:[ebp-CC] 005AD372 . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD377 . 8B00 mov eax,dword ptr ds:[eax] 005AD379 . E8 D242EDFF call SpokenKi.00481650 005AD37E . 8B85 34FFFFFF mov eax,dword ptr ss:[ebp-CC] 005AD384 . 8D95 38FFFFFF lea edx,dword ptr ss:[ebp-C8] 005AD38A . E8 C15AF9FF call SpokenKi.00542E50 005AD38F . 8B85 38FFFFFF mov eax,dword ptr ss:[ebp-C8] 005AD395 . 50 push eax 005AD396 . 8B8E 94030000 mov ecx,dword ptr ds:[esi+394] 005AD39C . 8D85 2CFFFFFF lea eax,dword ptr ss:[ebp-D4] 005AD3A2 . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD3A8 . E8 037BE5FF call SpokenKi.00404EB0 005AD3AD . 8B85 2CFFFFFF mov eax,dword ptr ss:[ebp-D4] 005AD3B3 . 8D95 30FFFFFF lea edx,dword ptr ss:[ebp-D0] 005AD3B9 . E8 925AF9FF call SpokenKi.00542E50 005AD3BE . 8B95 30FFFFFF mov edx,dword ptr ss:[ebp-D0] 005AD3C4 . 58 pop eax 005AD3C5 . E8 E67BE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD3CA . 74 6E je short SpokenKi.005AD43A ; 一样就跳 005AD3CC > 8B8E 98030000 mov ecx,dword ptr ds:[esi+398] 005AD3D2 . 8D85 28FFFFFF lea eax,dword ptr ss:[ebp-D8] 005AD3D8 . 8B15 9C525C00 mov edx,dword ptr ds:[5C529C] 005AD3DE . E8 CD7AE5FF call SpokenKi.00404EB0 005AD3E3 . 8B85 28FFFFFF mov eax,dword ptr ss:[ebp-D8] 005AD3E9 . E8 32C7E5FF call SpokenKi.00409B20 005AD3EE . 84C0 test al,al 005AD3F0 . 75 43 jnz short SpokenKi.005AD435 005AD3F2 . 8B8E 98030000 mov ecx,dword ptr ds:[esi+398] 005AD3F8 . 8D85 24FFFFFF lea eax,dword ptr ss:[ebp-DC] 005AD3FE . 8B15 9C525C00 mov edx,dword ptr ds:[5C529C] 005AD404 . E8 A77AE5FF call SpokenKi.00404EB0 005AD409 . 8B85 24FFFFFF mov eax,dword ptr ss:[ebp-DC] 005AD40F . 50 push eax 005AD410 . 8B0D 4C095C00 mov ecx,dword ptr ds:[5C094C] ; SpokenKi.005C4374 005AD416 . 8B09 mov ecx,dword ptr ds:[ecx] 005AD418 . 8D85 20FFFFFF lea eax,dword ptr ss:[ebp-E0] 005AD41E . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD424 . E8 877AE5FF call SpokenKi.00404EB0 005AD429 . 8B85 20FFFFFF mov eax,dword ptr ss:[ebp-E0] 005AD42F . 5A pop edx 005AD430 . E8 5F63F9FF call SpokenKi.00543794 005AD435 > E8 A69DE5FF call <jmp.&kernel32.ExitProcess> ; \ExitProcess 2008-3-20 17:52 0
蝙蝠侠雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	蝙蝠侠 7 楼用OD 调试的代码： 00659540 > $ 60 PUSHAD 00659541 . BE 00505A00 MOV ESI,SpokenKi.005A5000 00659546 . 8DBE 00C0E5FF LEA EDI,DWORD PTR DS:[ESI+FFE5C000] 0065954C . C787 C4801B00>MOV DWORD PTR DS:[EDI+1B80C4],71357674 00659556 . 57 PUSH EDI 00659557 . 83CD FF OR EBP,FFFFFFFF 0065955A . EB 0E JMP SHORT SpokenKi.0065956A 0065955C 90 NOP 0065955D 90 NOP 0065955E 90 NOP 0065955F 90 NOP 00659560 > 8A06 MOV AL,BYTE PTR DS:[ESI] 00659562 . 46 INC ESI 00659563 . 8807 MOV BYTE PTR DS:[EDI],AL 00659565 . 47 INC EDI 00659566 > 01DB ADD EBX,EBX 00659568 . 75 07 JNZ SHORT SpokenKi.00659571 0065956A > 8B1E MOV EBX,DWORD PTR DS:[ESI] 0065956C . 83EE FC SUB ESI,-4 0065956F . 11DB ADC EBX,EBX 00659571 >^ 72 ED JB SHORT SpokenKi.00659560 00659573 . B8 01000000 MOV EAX,1 <----------断点F4 00659578 > 01DB ADD EBX,EBX 0065957A . 75 07 JNZ SHORT SpokenKi.00659583 0065957C . 8B1E MOV EBX,DWORD PTR DS:[ESI] 0065957E . 83EE FC SUB ESI,-4 00659581 . 11DB ADC EBX,EBX 00659583 > 11C0 ADC EAX,EAX 00659585 . 01DB ADD EBX,EBX 00659587 .^ 77 EF JA SHORT SpokenKi.00659578 00659589 . 75 09 JNZ SHORT SpokenKi.00659594 0065958B . 8B1E MOV EBX,DWORD PTR DS:[ESI] 0065958D . 83EE FC SUB ESI,-4 00659590 . 11DB ADC EBX,EBX 00659592 .^ 73 E4 JNB SHORT SpokenKi.00659578 00659594 > 31C9 XOR ECX,ECX 00659596 . 83E8 03 SUB EAX,3 00659599 . 72 0D JB SHORT SpokenKi.006595A8 0065959B . C1E0 08 SHL EAX,8 0065959E . 8A06 MOV AL,BYTE PTR DS:[ESI] 006595A0 . 46 INC ESI 006595A1 . 83F0 FF XOR EAX,FFFFFFFF 006595A4 . 74 74 JE SHORT SpokenKi.0065961A 006595A6 . 89C5 MOV EBP,EAX 006595A8 > 01DB ADD EBX,EBX 006595AA . 75 07 JNZ SHORT SpokenKi.006595B3 006595AC . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595AE . 83EE FC SUB ESI,-4 006595B1 . 11DB ADC EBX,EBX 006595B3 > 11C9 ADC ECX,ECX 006595B5 . 01DB ADD EBX,EBX 006595B7 . 75 07 JNZ SHORT SpokenKi.006595C0 006595B9 . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595BB . 83EE FC SUB ESI,-4 006595BE . 11DB ADC EBX,EBX 006595C0 > 11C9 ADC ECX,ECX 006595C2 . 75 20 JNZ SHORT SpokenKi.006595E4 006595C4 . 41 INC ECX 006595C5 > 01DB ADD EBX,EBX 006595C7 . 75 07 JNZ SHORT SpokenKi.006595D0 006595C9 . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595CB . 83EE FC SUB ESI,-4 006595CE . 11DB ADC EBX,EBX 006595D0 > 11C9 ADC ECX,ECX 006595D2 . 01DB ADD EBX,EBX 006595D4 .^ 77 EF JA SHORT SpokenKi.006595C5 006595D6 . 75 09 JNZ SHORT SpokenKi.006595E1 006595D8 . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595DA . 83EE FC SUB ESI,-4 006595DD . 11DB ADC EBX,EBX 006595DF .^ 73 E4 JNB SHORT SpokenKi.006595C5 006595E1 > 83C1 02 ADD ECX,2 006595E4 > 81FD 00F3FFFF CMP EBP,-0D00 006595EA . 83D1 01 ADC ECX,1 006595ED . 8D142F LEA EDX,DWORD PTR DS:[EDI+EBP] 006595F0 . 83FD FC CMP EBP,-4 006595F3 . 7E 0F JLE SHORT SpokenKi.00659604 006595F5 > 8A02 MOV AL,BYTE PTR DS:[EDX] 006595F7 . 42 INC EDX 006595F8 . 8807 MOV BYTE PTR DS:[EDI],AL 006595FA . 47 INC EDI 006595FB . 49 DEC ECX 006595FC .^ 75 F7 JNZ SHORT SpokenKi.006595F5 006595FE .^ E9 63FFFFFF JMP SpokenKi.00659566 00659603 90 NOP 00659604 > 8B02 MOV EAX,DWORD PTR DS:[EDX] <----------断点F4 00659606 . 83C2 04 ADD EDX,4 00659609 . 8907 MOV DWORD PTR DS:[EDI],EAX 0065960B . 83C7 04 ADD EDI,4 0065960E . 83E9 04 SUB ECX,4 00659611 .^ 77 F1 JA SHORT SpokenKi.00659604 00659613 . 01CF ADD EDI,ECX <----------断点F4 00659615 .^ E9 4CFFFFFF JMP SpokenKi.00659566 0065961A > 5E POP ESI <----------断点F4 0065961B . 2B7F FC SUB EDI,DWORD PTR DS:[EDI-4] 0065961E . 57 PUSH EDI 0065961F . 89F7 MOV EDI,ESI 00659621 . B9 F1D70000 MOV ECX,0D7F1 00659626 > 8A07 MOV AL,BYTE PTR DS:[EDI] 00659628 . 47 INC EDI 00659629 . 2C E8 SUB AL,0E8 0065962B > 3C 01 CMP AL,1 0065962D .^ 77 F7 JA SHORT SpokenKi.00659626 0065962F . 803F 19 CMP BYTE PTR DS:[EDI],19 <----------断点F4 00659632 .^ 75 F2 JNZ SHORT SpokenKi.00659626 00659634 . 8B07 MOV EAX,DWORD PTR DS:[EDI] <----------断点F4 00659636 . 8A5F 04 MOV BL,BYTE PTR DS:[EDI+4] 00659639 . 66:C1E8 08 SHR AX,8 0065963D . C1C0 10 ROL EAX,10 00659640 . 86C4 XCHG AH,AL 00659642 . 29F8 SUB EAX,EDI 00659644 . 80EB E8 SUB BL,0E8 00659647 . 01F0 ADD EAX,ESI 00659649 . 8907 MOV DWORD PTR DS:[EDI],EAX 0065964B . 83C7 05 ADD EDI,5 0065964E . 89D8 MOV EAX,EBX 00659650 .^ E2 D9 LOOPD SHORT SpokenKi.0065962B 00659652 . 5F POP EDI <----------断点F4 00659653 > 8B07 MOV EAX,DWORD PTR DS:[EDI] 00659655 . 09C0 OR EAX,EAX 00659657 . 74 3A JE SHORT SpokenKi.00659693 00659659 . 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4] 0065965C . 8D8430 7C2126>LEA EAX,DWORD PTR DS:[EAX+ESI+26217C] 00659663 . 01F3 ADD EBX,ESI 00659665 . 50 PUSH EAX 00659666 . 83C7 08 ADD EDI,8 00659669 . FF96 A8222600 CALL DWORD PTR DS:[ESI+2622A8] 0065966F . 92 XCHG EAX,EDX 00659670 > 8A07 MOV AL,BYTE PTR DS:[EDI] 00659672 . 47 INC EDI 00659673 . 08C0 OR AL,AL 00659675 .^ 74 DC JE SHORT SpokenKi.00659653 00659677 . 52 PUSH EDX 00659678 . 89F9 MOV ECX,EDI 0065967A . 57 PUSH EDI 0065967B . 48 DEC EAX 0065967C . F2:AE REPNE SCAS BYTE PTR ES:[EDI] 0065967E . 52 PUSH EDX 0065967F . FF96 AC222600 CALL DWORD PTR DS:[ESI+2622AC] 00659685 . 5A POP EDX 00659686 . 09C0 OR EAX,EAX 00659688 . 74 07 JE SHORT SpokenKi.00659691 0065968A . 8903 MOV DWORD PTR DS:[EBX],EAX 0065968C . 83C3 04 ADD EBX,4 0065968F .^ EB DF JMP SHORT SpokenKi.00659670 00659691 > 61 POPAD <----------断点F4 OEP 处的代码不对， Delphi语言代码头部应是： 004578F4 > /55 push ebp 004578F5 . \|8BEC mov ebp,esp 004578F7 . \|83C4 F4 add esp,-0C 005ACE08 > /55 PUSH EBP 005ACE09 ? \|8BEC MOV EBP,ESP 005ACE0B . \|B9 8C010000 MOV ECX,18C 005ACE10 \|6A DB 6A ; CHAR 'j' 005ACE11 \|00 DB 00 005ACE12 \|6A DB 6A ; CHAR 'j' 005ACE13 \|00 DB 00 005ACE14 \|49 DB 49 ; CHAR 'I' 005ACE15 \|75 DB 75 ; CHAR 'u' 005ACE16 . \|F9 51 53 ASCII "鵔S" 005ACE19 \|56 DB 56 ; CHAR 'V' 005ACE1A \|57 DB 57 ; CHAR 'W' 005ACE1B \|B8 DB B8 005ACE1C \|28 DB 28 ; CHAR '(' 005ACE1D \|C9 DB C9 005ACE1E \|5A DB 5A ; CHAR 'Z' 2008-3-20 19:35 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 8 楼我无语了。 2008-3-20 20:01 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 9 楼 ESP定律很容易就到OEP了，但是后面的破解不太容易，因为软件要求文件名不能改，文件时间要是刚安装的时间。。。可能有很多的监测需要搞定。。。。 2008-3-20 22:07 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 10 楼 Borland Delphi 6.0 - 7.0 代码没有压缩 2008-3-20 22:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

蝙蝠侠

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 2 楼去下载个VMUNPACKER脱壳机就搞定了貌似程序有自校验？？ 2008-3-20 00:46 0
我爱我家雪币： 225 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 1 关注私信	我爱我家 3 楼 ESP定律可以到达OEP，你可能没找对，这个软件安装后在我的机器上不能运行，没有仔细测试。 2008-3-20 10:15 0
蝙蝠侠雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	蝙蝠侠 4 楼用VMUNPACKER脱壳机脱壳后不能运行，用IMPOTREC修复也不能运行，好像没有自效验！ 2008-3-20 15:32 0
蝙蝠侠雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	蝙蝠侠 5 楼 ESP定律到达OEP ，但是代码不对，代码还是压缩的！ 2008-3-20 15:33 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 6 楼都告诉你有自校验了害得我还重新下载安装了一边。。。正常ESP定律脱壳貌似需要手动查找IAT 反正我是手动才找到的。。程序名有一个校验不知道在哪没找把脱壳文件改成原程序名就可以了最简单的找个文件属性修改工具把修改时间和创建时间改成一样的就可以了程序会校验创建时间和修改时间没仔细看（仔细看也不一定能看懂）这个程序好像把时间这个比较5遍。。。我要会编程打死我也不能这么写去掉自校验以后使用就到期了。。。不知道为什么校验的代码 005AD239 . E8 727DE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD23E . 0F85 88010000 jnz SpokenKi.005AD3CC ; 不一样就跳 005AD244 . 8D95 64FFFFFF lea edx,dword ptr ss:[ebp-9C] 005AD24A . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD24F . 8B00 mov eax,dword ptr ds:[eax] 005AD251 . E8 FA43EDFF call SpokenKi.00481650 005AD256 . 8B85 64FFFFFF mov eax,dword ptr ss:[ebp-9C] 005AD25C . 8D95 68FFFFFF lea edx,dword ptr ss:[ebp-98] 005AD262 . E8 E95BF9FF call SpokenKi.00542E50 005AD267 . 8B85 68FFFFFF mov eax,dword ptr ss:[ebp-98] 005AD26D . 50 push eax 005AD26E . 8B8E 74010000 mov ecx,dword ptr ds:[esi+174] 005AD274 . 8D85 5CFFFFFF lea eax,dword ptr ss:[ebp-A4] 005AD27A . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD280 . E8 2B7CE5FF call SpokenKi.00404EB0 005AD285 . 8B85 5CFFFFFF mov eax,dword ptr ss:[ebp-A4] 005AD28B . 8D95 60FFFFFF lea edx,dword ptr ss:[ebp-A0] 005AD291 . E8 BA5BF9FF call SpokenKi.00542E50 005AD296 . 8B95 60FFFFFF mov edx,dword ptr ss:[ebp-A0] 005AD29C . 58 pop eax 005AD29D . E8 0E7DE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD2A2 . 0F85 24010000 jnz SpokenKi.005AD3CC ; 不一样就跳 005AD2A8 . 8D95 54FFFFFF lea edx,dword ptr ss:[ebp-AC] 005AD2AE . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD2B3 . 8B00 mov eax,dword ptr ds:[eax] 005AD2B5 . E8 9643EDFF call SpokenKi.00481650 005AD2BA . 8B85 54FFFFFF mov eax,dword ptr ss:[ebp-AC] 005AD2C0 . 8D95 58FFFFFF lea edx,dword ptr ss:[ebp-A8] 005AD2C6 . E8 855BF9FF call SpokenKi.00542E50 005AD2CB . 8B85 58FFFFFF mov eax,dword ptr ss:[ebp-A8] 005AD2D1 . 50 push eax 005AD2D2 . 8B8E 70010000 mov ecx,dword ptr ds:[esi+170] 005AD2D8 . 8D85 4CFFFFFF lea eax,dword ptr ss:[ebp-B4] 005AD2DE . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD2E4 . E8 C77BE5FF call SpokenKi.00404EB0 005AD2E9 . 8B85 4CFFFFFF mov eax,dword ptr ss:[ebp-B4] 005AD2EF . 8D95 50FFFFFF lea edx,dword ptr ss:[ebp-B0] 005AD2F5 . E8 565BF9FF call SpokenKi.00542E50 005AD2FA . 8B95 50FFFFFF mov edx,dword ptr ss:[ebp-B0] 005AD300 . 58 pop eax 005AD301 . E8 AA7CE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD306 . 0F85 C0000000 jnz SpokenKi.005AD3CC ; 不一样就跳 005AD30C . 8D95 44FFFFFF lea edx,dword ptr ss:[ebp-BC] 005AD312 . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD317 . 8B00 mov eax,dword ptr ds:[eax] 005AD319 . E8 3243EDFF call SpokenKi.00481650 005AD31E . 8B85 44FFFFFF mov eax,dword ptr ss:[ebp-BC] 005AD324 . 8D95 48FFFFFF lea edx,dword ptr ss:[ebp-B8] 005AD32A . E8 215BF9FF call SpokenKi.00542E50 005AD32F . 8B85 48FFFFFF mov eax,dword ptr ss:[ebp-B8] 005AD335 . 50 push eax 005AD336 . 8B8E 90030000 mov ecx,dword ptr ds:[esi+390] 005AD33C . 8D85 3CFFFFFF lea eax,dword ptr ss:[ebp-C4] 005AD342 . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD348 . E8 637BE5FF call SpokenKi.00404EB0 005AD34D . 8B85 3CFFFFFF mov eax,dword ptr ss:[ebp-C4] 005AD353 . 8D95 40FFFFFF lea edx,dword ptr ss:[ebp-C0] 005AD359 . E8 F25AF9FF call SpokenKi.00542E50 005AD35E . 8B95 40FFFFFF mov edx,dword ptr ss:[ebp-C0] 005AD364 . 58 pop eax 005AD365 . E8 467CE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD36A . 75 60 jnz short SpokenKi.005AD3CC ; 不一样就跳 005AD36C . 8D95 34FFFFFF lea edx,dword ptr ss:[ebp-CC] 005AD372 . A1 780A5C00 mov eax,dword ptr ds:[5C0A78] 005AD377 . 8B00 mov eax,dword ptr ds:[eax] 005AD379 . E8 D242EDFF call SpokenKi.00481650 005AD37E . 8B85 34FFFFFF mov eax,dword ptr ss:[ebp-CC] 005AD384 . 8D95 38FFFFFF lea edx,dword ptr ss:[ebp-C8] 005AD38A . E8 C15AF9FF call SpokenKi.00542E50 005AD38F . 8B85 38FFFFFF mov eax,dword ptr ss:[ebp-C8] 005AD395 . 50 push eax 005AD396 . 8B8E 94030000 mov ecx,dword ptr ds:[esi+394] 005AD39C . 8D85 2CFFFFFF lea eax,dword ptr ss:[ebp-D4] 005AD3A2 . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD3A8 . E8 037BE5FF call SpokenKi.00404EB0 005AD3AD . 8B85 2CFFFFFF mov eax,dword ptr ss:[ebp-D4] 005AD3B3 . 8D95 30FFFFFF lea edx,dword ptr ss:[ebp-D0] 005AD3B9 . E8 925AF9FF call SpokenKi.00542E50 005AD3BE . 8B95 30FFFFFF mov edx,dword ptr ss:[ebp-D0] 005AD3C4 . 58 pop eax 005AD3C5 . E8 E67BE5FF call SpokenKi.00404FB0 ; 比较创建时间跟修改时间 005AD3CA . 74 6E je short SpokenKi.005AD43A ; 一样就跳 005AD3CC > 8B8E 98030000 mov ecx,dword ptr ds:[esi+398] 005AD3D2 . 8D85 28FFFFFF lea eax,dword ptr ss:[ebp-D8] 005AD3D8 . 8B15 9C525C00 mov edx,dword ptr ds:[5C529C] 005AD3DE . E8 CD7AE5FF call SpokenKi.00404EB0 005AD3E3 . 8B85 28FFFFFF mov eax,dword ptr ss:[ebp-D8] 005AD3E9 . E8 32C7E5FF call SpokenKi.00409B20 005AD3EE . 84C0 test al,al 005AD3F0 . 75 43 jnz short SpokenKi.005AD435 005AD3F2 . 8B8E 98030000 mov ecx,dword ptr ds:[esi+398] 005AD3F8 . 8D85 24FFFFFF lea eax,dword ptr ss:[ebp-DC] 005AD3FE . 8B15 9C525C00 mov edx,dword ptr ds:[5C529C] 005AD404 . E8 A77AE5FF call SpokenKi.00404EB0 005AD409 . 8B85 24FFFFFF mov eax,dword ptr ss:[ebp-DC] 005AD40F . 50 push eax 005AD410 . 8B0D 4C095C00 mov ecx,dword ptr ds:[5C094C] ; SpokenKi.005C4374 005AD416 . 8B09 mov ecx,dword ptr ds:[ecx] 005AD418 . 8D85 20FFFFFF lea eax,dword ptr ss:[ebp-E0] 005AD41E . 8B15 B0525C00 mov edx,dword ptr ds:[5C52B0] 005AD424 . E8 877AE5FF call SpokenKi.00404EB0 005AD429 . 8B85 20FFFFFF mov eax,dword ptr ss:[ebp-E0] 005AD42F . 5A pop edx 005AD430 . E8 5F63F9FF call SpokenKi.00543794 005AD435 > E8 A69DE5FF call <jmp.&kernel32.ExitProcess> ; \ExitProcess 2008-3-20 17:52 0
蝙蝠侠雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	蝙蝠侠 7 楼用OD 调试的代码： 00659540 > $ 60 PUSHAD 00659541 . BE 00505A00 MOV ESI,SpokenKi.005A5000 00659546 . 8DBE 00C0E5FF LEA EDI,DWORD PTR DS:[ESI+FFE5C000] 0065954C . C787 C4801B00>MOV DWORD PTR DS:[EDI+1B80C4],71357674 00659556 . 57 PUSH EDI 00659557 . 83CD FF OR EBP,FFFFFFFF 0065955A . EB 0E JMP SHORT SpokenKi.0065956A 0065955C 90 NOP 0065955D 90 NOP 0065955E 90 NOP 0065955F 90 NOP 00659560 > 8A06 MOV AL,BYTE PTR DS:[ESI] 00659562 . 46 INC ESI 00659563 . 8807 MOV BYTE PTR DS:[EDI],AL 00659565 . 47 INC EDI 00659566 > 01DB ADD EBX,EBX 00659568 . 75 07 JNZ SHORT SpokenKi.00659571 0065956A > 8B1E MOV EBX,DWORD PTR DS:[ESI] 0065956C . 83EE FC SUB ESI,-4 0065956F . 11DB ADC EBX,EBX 00659571 >^ 72 ED JB SHORT SpokenKi.00659560 00659573 . B8 01000000 MOV EAX,1 <----------断点F4 00659578 > 01DB ADD EBX,EBX 0065957A . 75 07 JNZ SHORT SpokenKi.00659583 0065957C . 8B1E MOV EBX,DWORD PTR DS:[ESI] 0065957E . 83EE FC SUB ESI,-4 00659581 . 11DB ADC EBX,EBX 00659583 > 11C0 ADC EAX,EAX 00659585 . 01DB ADD EBX,EBX 00659587 .^ 77 EF JA SHORT SpokenKi.00659578 00659589 . 75 09 JNZ SHORT SpokenKi.00659594 0065958B . 8B1E MOV EBX,DWORD PTR DS:[ESI] 0065958D . 83EE FC SUB ESI,-4 00659590 . 11DB ADC EBX,EBX 00659592 .^ 73 E4 JNB SHORT SpokenKi.00659578 00659594 > 31C9 XOR ECX,ECX 00659596 . 83E8 03 SUB EAX,3 00659599 . 72 0D JB SHORT SpokenKi.006595A8 0065959B . C1E0 08 SHL EAX,8 0065959E . 8A06 MOV AL,BYTE PTR DS:[ESI] 006595A0 . 46 INC ESI 006595A1 . 83F0 FF XOR EAX,FFFFFFFF 006595A4 . 74 74 JE SHORT SpokenKi.0065961A 006595A6 . 89C5 MOV EBP,EAX 006595A8 > 01DB ADD EBX,EBX 006595AA . 75 07 JNZ SHORT SpokenKi.006595B3 006595AC . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595AE . 83EE FC SUB ESI,-4 006595B1 . 11DB ADC EBX,EBX 006595B3 > 11C9 ADC ECX,ECX 006595B5 . 01DB ADD EBX,EBX 006595B7 . 75 07 JNZ SHORT SpokenKi.006595C0 006595B9 . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595BB . 83EE FC SUB ESI,-4 006595BE . 11DB ADC EBX,EBX 006595C0 > 11C9 ADC ECX,ECX 006595C2 . 75 20 JNZ SHORT SpokenKi.006595E4 006595C4 . 41 INC ECX 006595C5 > 01DB ADD EBX,EBX 006595C7 . 75 07 JNZ SHORT SpokenKi.006595D0 006595C9 . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595CB . 83EE FC SUB ESI,-4 006595CE . 11DB ADC EBX,EBX 006595D0 > 11C9 ADC ECX,ECX 006595D2 . 01DB ADD EBX,EBX 006595D4 .^ 77 EF JA SHORT SpokenKi.006595C5 006595D6 . 75 09 JNZ SHORT SpokenKi.006595E1 006595D8 . 8B1E MOV EBX,DWORD PTR DS:[ESI] 006595DA . 83EE FC SUB ESI,-4 006595DD . 11DB ADC EBX,EBX 006595DF .^ 73 E4 JNB SHORT SpokenKi.006595C5 006595E1 > 83C1 02 ADD ECX,2 006595E4 > 81FD 00F3FFFF CMP EBP,-0D00 006595EA . 83D1 01 ADC ECX,1 006595ED . 8D142F LEA EDX,DWORD PTR DS:[EDI+EBP] 006595F0 . 83FD FC CMP EBP,-4 006595F3 . 7E 0F JLE SHORT SpokenKi.00659604 006595F5 > 8A02 MOV AL,BYTE PTR DS:[EDX] 006595F7 . 42 INC EDX 006595F8 . 8807 MOV BYTE PTR DS:[EDI],AL 006595FA . 47 INC EDI 006595FB . 49 DEC ECX 006595FC .^ 75 F7 JNZ SHORT SpokenKi.006595F5 006595FE .^ E9 63FFFFFF JMP SpokenKi.00659566 00659603 90 NOP 00659604 > 8B02 MOV EAX,DWORD PTR DS:[EDX] <----------断点F4 00659606 . 83C2 04 ADD EDX,4 00659609 . 8907 MOV DWORD PTR DS:[EDI],EAX 0065960B . 83C7 04 ADD EDI,4 0065960E . 83E9 04 SUB ECX,4 00659611 .^ 77 F1 JA SHORT SpokenKi.00659604 00659613 . 01CF ADD EDI,ECX <----------断点F4 00659615 .^ E9 4CFFFFFF JMP SpokenKi.00659566 0065961A > 5E POP ESI <----------断点F4 0065961B . 2B7F FC SUB EDI,DWORD PTR DS:[EDI-4] 0065961E . 57 PUSH EDI 0065961F . 89F7 MOV EDI,ESI 00659621 . B9 F1D70000 MOV ECX,0D7F1 00659626 > 8A07 MOV AL,BYTE PTR DS:[EDI] 00659628 . 47 INC EDI 00659629 . 2C E8 SUB AL,0E8 0065962B > 3C 01 CMP AL,1 0065962D .^ 77 F7 JA SHORT SpokenKi.00659626 0065962F . 803F 19 CMP BYTE PTR DS:[EDI],19 <----------断点F4 00659632 .^ 75 F2 JNZ SHORT SpokenKi.00659626 00659634 . 8B07 MOV EAX,DWORD PTR DS:[EDI] <----------断点F4 00659636 . 8A5F 04 MOV BL,BYTE PTR DS:[EDI+4] 00659639 . 66:C1E8 08 SHR AX,8 0065963D . C1C0 10 ROL EAX,10 00659640 . 86C4 XCHG AH,AL 00659642 . 29F8 SUB EAX,EDI 00659644 . 80EB E8 SUB BL,0E8 00659647 . 01F0 ADD EAX,ESI 00659649 . 8907 MOV DWORD PTR DS:[EDI],EAX 0065964B . 83C7 05 ADD EDI,5 0065964E . 89D8 MOV EAX,EBX 00659650 .^ E2 D9 LOOPD SHORT SpokenKi.0065962B 00659652 . 5F POP EDI <----------断点F4 00659653 > 8B07 MOV EAX,DWORD PTR DS:[EDI] 00659655 . 09C0 OR EAX,EAX 00659657 . 74 3A JE SHORT SpokenKi.00659693 00659659 . 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4] 0065965C . 8D8430 7C2126>LEA EAX,DWORD PTR DS:[EAX+ESI+26217C] 00659663 . 01F3 ADD EBX,ESI 00659665 . 50 PUSH EAX 00659666 . 83C7 08 ADD EDI,8 00659669 . FF96 A8222600 CALL DWORD PTR DS:[ESI+2622A8] 0065966F . 92 XCHG EAX,EDX 00659670 > 8A07 MOV AL,BYTE PTR DS:[EDI] 00659672 . 47 INC EDI 00659673 . 08C0 OR AL,AL 00659675 .^ 74 DC JE SHORT SpokenKi.00659653 00659677 . 52 PUSH EDX 00659678 . 89F9 MOV ECX,EDI 0065967A . 57 PUSH EDI 0065967B . 48 DEC EAX 0065967C . F2:AE REPNE SCAS BYTE PTR ES:[EDI] 0065967E . 52 PUSH EDX 0065967F . FF96 AC222600 CALL DWORD PTR DS:[ESI+2622AC] 00659685 . 5A POP EDX 00659686 . 09C0 OR EAX,EAX 00659688 . 74 07 JE SHORT SpokenKi.00659691 0065968A . 8903 MOV DWORD PTR DS:[EBX],EAX 0065968C . 83C3 04 ADD EBX,4 0065968F .^ EB DF JMP SHORT SpokenKi.00659670 00659691 > 61 POPAD <----------断点F4 OEP 处的代码不对， Delphi语言代码头部应是： 004578F4 > /55 push ebp 004578F5 . \|8BEC mov ebp,esp 004578F7 . \|83C4 F4 add esp,-0C 005ACE08 > /55 PUSH EBP 005ACE09 ? \|8BEC MOV EBP,ESP 005ACE0B . \|B9 8C010000 MOV ECX,18C 005ACE10 \|6A DB 6A ; CHAR 'j' 005ACE11 \|00 DB 00 005ACE12 \|6A DB 6A ; CHAR 'j' 005ACE13 \|00 DB 00 005ACE14 \|49 DB 49 ; CHAR 'I' 005ACE15 \|75 DB 75 ; CHAR 'u' 005ACE16 . \|F9 51 53 ASCII "鵔S" 005ACE19 \|56 DB 56 ; CHAR 'V' 005ACE1A \|57 DB 57 ; CHAR 'W' 005ACE1B \|B8 DB B8 005ACE1C \|28 DB 28 ; CHAR '(' 005ACE1D \|C9 DB C9 005ACE1E \|5A DB 5A ; CHAR 'Z' 2008-3-20 19:35 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 8 楼我无语了。 2008-3-20 20:01 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 9 楼 ESP定律很容易就到OEP了，但是后面的破解不太容易，因为软件要求文件名不能改，文件时间要是刚安装的时间。。。可能有很多的监测需要搞定。。。。 2008-3-20 22:07 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 10 楼 Borland Delphi 6.0 - 7.0 代码没有压缩 2008-3-20 22:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复