[求助]脫了upx但是ep段顯示upx0-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼不要在意。如果显示Microsoft Visual C++ 6.0，且运行也正常。应该是已经脱了，至于段名。可以为任何名字的。 2009-9-14 12:39 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 3 楼楼主，你用什么脱壳机？ 2009-9-14 14:00 0
wwwmusicci 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	wwwmusicci 4 楼感謝二樓的回覆,分析之後沒有花指令亂碼可以找的到函數,不過我還是很好奇為什麼脫殼機可以脫成那樣呢? 我看了ep 段脫殼機的是 .text 偏移00001000 大小00150052 而我脫的有兩個 upx0 偏移00001000 大小00159000 upx1 偏移0015A000 大小0009A000 就算pe工具修改名稱也不可能整合成那樣吧有適合的軟體可以用嗎? 關於三樓我用的脫殼機是UpxUnpacker附載點如下: d54K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0S2P5h3k6A6L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2M7#2)9J5c8U0u0S2y4e0V1$3k6e0b7%4i4K6u0V1j5e0p5K6x3q4)9J5k6o6p5I4k6r3g2Q4x3X3c8S2z5h3g2W2i4K6u0V1x3o6l9I4y4o6t1J5x3h3t1%4z5e0S2S2i4K6u0r3 2009-9-14 21:16 0
rainboys 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	rainboys 5 楼关注一下，我也遇到一个这样的程序，后来od载入发觉是e语言！ 2009-9-14 23:36 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼我对脱壳也没有怎么学习过，且只是说说我的看法。如果你找到更贴切的答案，忘记我说的。脱壳一般会有两种方式，静态，和动态的。静态脱壳，利用了加壳软件的算法，逆向操作，像UPX的壳一般都是可以采用静态脱壳的。且这种方式脱壳很完美，全部或者基本上可以还原程序的原来面貌。动态脱壳，执行加壳后的软件，软件自身运行到某个时刻，这个时刻的软件映像是被解压缩。或者解密了的。这个时候通过手动转储内存空间就可以获得脱壳后的软件。但是这样出来的软件带了很多壳程序留下的痕迹。不是很完美。你用OD的ESP定律出来的就是动态脱壳了。脱壳机属于静态的。只有部分压缩壳会有静态脱壳机，一般情况，保护壳都无法用静态脱壳的 2009-9-15 08:30 0
grandship 雪币： 625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	grandship 7 楼强烈同意版主的观点！ 2009-9-15 20:01 0
ytyay 雪币： 14723 活跃值： (4992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 133 粉丝 0 关注私信	ytyay 8 楼非常感谢您提供的脱壳机！ 2009-12-27 16:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼不要在意。如果显示Microsoft Visual C++ 6.0，且运行也正常。应该是已经脱了，至于段名。可以为任何名字的。 2009-9-14 12:39 0
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 3 楼楼主，你用什么脱壳机？ 2009-9-14 14:00 0
wwwmusicci 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	wwwmusicci 4 楼感謝二樓的回覆,分析之後沒有花指令亂碼可以找的到函數,不過我還是很好奇為什麼脫殼機可以脫成那樣呢? 我看了ep 段脫殼機的是 .text 偏移00001000 大小00150052 而我脫的有兩個 upx0 偏移00001000 大小00159000 upx1 偏移0015A000 大小0009A000 就算pe工具修改名稱也不可能整合成那樣吧有適合的軟體可以用嗎? 關於三樓我用的脫殼機是UpxUnpacker附載點如下: d54K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0S2P5h3k6A6L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2M7#2)9J5c8U0u0S2y4e0V1$3k6e0b7%4i4K6u0V1j5e0p5K6x3q4)9J5k6o6p5I4k6r3g2Q4x3X3c8S2z5h3g2W2i4K6u0V1x3o6l9I4y4o6t1J5x3h3t1%4z5e0S2S2i4K6u0r3 2009-9-14 21:16 0
rainboys 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	rainboys 5 楼关注一下，我也遇到一个这样的程序，后来od载入发觉是e语言！ 2009-9-14 23:36 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼我对脱壳也没有怎么学习过，且只是说说我的看法。如果你找到更贴切的答案，忘记我说的。脱壳一般会有两种方式，静态，和动态的。静态脱壳，利用了加壳软件的算法，逆向操作，像UPX的壳一般都是可以采用静态脱壳的。且这种方式脱壳很完美，全部或者基本上可以还原程序的原来面貌。动态脱壳，执行加壳后的软件，软件自身运行到某个时刻，这个时刻的软件映像是被解压缩。或者解密了的。这个时候通过手动转储内存空间就可以获得脱壳后的软件。但是这样出来的软件带了很多壳程序留下的痕迹。不是很完美。你用OD的ESP定律出来的就是动态脱壳了。脱壳机属于静态的。只有部分压缩壳会有静态脱壳机，一般情况，保护壳都无法用静态脱壳的 2009-9-15 08:30 0
grandship 雪币： 625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	grandship 7 楼强烈同意版主的观点！ 2009-9-15 20:01 0
ytyay 雪币： 14723 活跃值： (4992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 133 粉丝 0 关注私信	ytyay 8 楼非常感谢您提供的脱壳机！ 2009-12-27 16:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复