WinUpack 0.39 final -> By Dwing

最新推荐文章于 2021-07-06 13:35:17 发布
最新推荐文章于 2021-07-06 13:35:17 发布
阅读量1.7k 收藏
点赞数
分类专栏: 文章标签: c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5378447
版权

手脱 WinUpack 0.39 final -> By Dwing 。。。因为想逆向一个东西,无奈,程序加了壳,

IDA 不能识别出里边的一些东西,所以拿起 OD ,开始脱壳。。。这是一个压缩壳,基本上一路 F8

然后就会 有一个 ret ,返回就是了:

 

004FE752     2BC7                  sub eax,edi
004FE754     AB                    stos dword ptr es:[edi]
004FE755   ^ E2 E5                 loopd short 目录监控.004FE73C         ,经过这里后,返回就到了
004FE757     5E                    pop esi
004FE758     5D                    pop ebp

 

返回后:

004537ED     55                    push ebp                          ; kernel32.GetProcAddress
004537EE     8BEC                  mov ebp,esp
004537F0     6A FF                 push -1
004537F2     68 E04B4800           push 目录监控.00484BE0
004537F7     68 BC814500           push 目录监控.004581BC
004537FC     64:A1 00000000        mov eax,dword ptr fs:[0]
00453802     50                    push eax
00453803     64:8925 00000000      mov dword ptr fs:[0],esp
0045380A     83EC 58               sub esp,58
0045380D     53                    push ebx
0045380E     56                    push esi
0045380F     57                    push edi
00453810     8965 E8               mov dword ptr ss:[ebp-18],esp
00453813     FF15 4C434700         call dword ptr ds:[47434C]        ; kernel32.GetVersion
00453819     33D2                  xor edx,edx

 

dump 下来,修复就 OK 了。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinUpack 0.39汉英
03-08
WinUpack 0.39汉英,加壳的好工具,属于压缩壳的一种方法,这是最后的一个版本,然后再没更新了。
winupack
01-04
winupack
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
Purpleendurer@CSDN
07-30 3428
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等endurer 原创2007-07-30 第1版刚才,“遭遇Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等”一文中的朋友又来求援,说电脑又出现上次的症状……过去一看,系统托盘区里小红伞的监控图标不见了,询问得知是他卸载了
遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等
Purpleendurer@CSDN
11-20 3192
遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等endurer 原创2007-11-20 第1版今天中午,一位网友说她的电脑中毒了,开不了网页,让偶通过QQ远程协助帮忙检修。先看瑞星的历史记录:/---病毒名称 处理结果 扫描方式 路径 文件 病毒来源Trojan.Win32.Mnless.zjb 删除成功 手动扫描 C:/W
庖丁解牛之UPack工作原理及实例分析(1)
fengling59的专栏
12-29 756
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(1) 5 days ago2015-12-28 孙 建坡 阅读: 287 大家都清楚运行时压缩器UPack是软件逆向工程中常见课题;了解运行时压缩,需要掌握基
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等3
Purpleendurer@CSDN
01-09 1876
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等3endurer 原创2008-01-09 第1版下载安装瑞星杀毒软件,升级到最新版本,再扫描,部分结果如下:病毒名称  处理结果 查杀方式路径  文件  病毒来源Trojan.PSW.Win32.GameOL.GEN  删除成功 快捷方
分析WinUpack壳程序解压缩过程
qq_33526144的博客
01-31 429
解压缩过程 1.OD载入失败,点击确定时,OD停留在ntdll.dll中,用stud_pe工具打开,发现EP为00001018 2.在OD中,跳转到EP,选中ep,右键-》new origin here,调式 3.接下来看解压缩的过程,压缩的时候把数据都压缩到第二个节区中,解压缩的过程会把这些数据放到第一个节区中 4.单步,初始化eax,值为notepad的Oep,运行到0101fd18...
脱壳简单总结
weixin_45880501的博客
07-06 2117
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
35. 脱壳篇-UPX和WinUpack压缩壳的使用和脱法
墨痕诉清风的博客
03-08 1395
UPX官网:http;//upx.sourceforge.net UPX加壳 通过cmd窗口执行,进入upx目录,执行: upx.exe fishc.exe 或者直接将exe拖至upx.exe上即可 UPX脱壳 upx -d abc.exe 如果作者在导入表等地方修改的话,这种方式就不可以脱壳了,因为他自己都不认识自己了 一般情况下,加壳的程序均为 pushad ...
手动脱WinUpack 壳实战
Fly20141201. 的专栏
07-15 2547
作者:Fly2015 吾爱破解培训第一课选修作业第6个练习示例程序。不得不重复那句话,没见过这种壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些,特别是IAT表的修复问题上。   首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理。 OD载入加WinUpack 壳的程序进行动态调试分析,加壳程序入口点反汇编快照。 想都不用想,看到PU
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
jieba0.39下载
10-06
外网下载太慢,欢迎这里下载。安装步骤可参考:http://blog.csdn.net/sanqima/article/details/50965439
WinUpack0.39
06-22
压缩壳\WinUpack0.39.exe
免杀工具箱 简体中文版
02-24
免杀辅助 ┍PE+ ┝MyCCL ┝MaskPE ┝冰枫文件防火墙 ┝AVFucker ┝AV Devil ┝ToPo ┝CodeCaver ┝Anti Kaspersky ┝TK.Loader ┝INSTDRV ┝DriverLoader ┝vmprotect ┕VBExplorer 保护壳 ┍BepGui ┝Cryptor ┝PolyBox ┝ASProtect ┝Punisher 汉化版 ┝ACStripper ┝PE加密 ┝Daemon Crypt ┝nsAnti CracKed ┝RPolyCrypt ┝Goat's PE Mutilator ┝Unknown Protect ┕EXE Stealth 压缩壳 ┍堀北压缩 ┝Minkecn ┝WinUpack ┝petgui_CHS ┝蚂蚁压缩工具 ┝超级加壳工具 ┝Nspack ┝FSG ┝GHF Protector ┝dePack ┝G!X Protector ┕eXPressor 花指令 ┍wrsky ┝防杀精灵 ┝花指令生成器 ┝超级加花器 ┝main ┝木马免疫器 ┝上兴应用程序加壳 ┝冰枫文件加密器 ┝木马免杀保护器 ┝8way ┝花指令添加器 ┝EXE Evil ┝木马彩衣 ┝F ake Ninja ┕━━━━━━━━━━━
手动查找 IAT 的方法!!!
xum2008的专栏
11-12 2966
 一个这样的壳: MoleBox 2.x.x -> Mole Studio 是用 汇编写的;  ***************************** 运用 ESP 定律 达到程序的 OEP (如果在这个过程中,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常脱壳后,发现程序无法运行。。修复时,有两个无效的指针。用
手脱 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
xum2008的专栏
11-12 2500
 手脱 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks 这是一个穿山甲的壳。。。当运行它后,在任务窗口,只发现有一个进程, 那么我们就用常规的方法来处理它。。。 首先,用OD载入, 下 GetModuleHandleA+5 这个断点,然后 shift+F9 运行。 观察堆栈窗口 001292A4 /0012EBB0
不脱壳破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加壳程序
xum2008的专栏
11-12 1712
 不脱壳破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加壳程序 e2h-dist.exe。。 首先用 OD 载入程序。忽略出 int3 外的所有异常。。 运行它。。出现注册对话窗口。。 填入假码和注册信息。。。确定,,出现一个对话框 “invalidus code” 记住它。。暂停后,分析一下代码,搜索-》所有文
手脱 UltraProtect 1.x -> RISCO Software Inc
xum2008的专栏
11-12 1509
 手脱 UltraProtect 1.x -> RISCO Software Inc. 用PEID 查壳 用OD 载入。。。 分析代码。。。。 不选非法访问内存!!! 可以用ESP定律来取得它的入口地址。。 当然首先应该看一下它是否被抽取了入口代码,将它们隐藏起来了。。 载入后后,可以对代码进行分析,用最后一次异常的方法来到那个 ret 然后打开内存镜像,在代码处内

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值