手工脱壳UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stu...

最新推荐文章于 2024-04-13 10:48:47 发布
最新推荐文章于 2024-04-13 10:48:47 发布
阅读量375 收藏
点赞数
原文链接:https://my.oschina.net/hondfy/blog/135378
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

记住F8单步向下 F4断点

先向下 有一点大家一定要记得 脱壳一定要让程序向下走不能回跳

00640FC0 8A06 MOV AL,BYTE PTR DS:[ESI]
00640FC2 46 INC ESI
00640FC3 8807 MOV BYTE PTR DS:[EDI],AL
00640FC5 47 INC EDI
00640FC6 01DB ADD EBX,EBX
00640FC8 75 07 JNZ SHORT Domain3_.00640FD1
00640FCA 8B1E MOV EBX,DWORD PTR DS:[ESI]
00640FCC 83EE FC SUB ESI,-4
00640FCF 11DB ADC EBX,EBX
00640FD1 ^ 72 ED JB SHORT Domain3_.00640FC0
00640FD3 B8 01000000 MOV EAX,1<----------断点F4

00641069 8A02 MOV AL,BYTE PTR DS:[EDX]
0064106B 42 INC EDX
0064106C 8807 MOV BYTE PTR DS:[EDI],AL
0064106E 47 INC EDI
0064106F 49 DEC ECX
00641070 ^ 75 F7 JNZ SHORT Domain3_.00641069
00641072 ^ E9 4FFFFFFF JMP Domain3_.00640FC6
00641077 90 NOP

看见没两个回跳

00641077 90 NOP不能断如果断的话程序就会回跳 脱出来的也没用

00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]<----------在这里断F4

00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]
0064107A 83C2 04 ADD EDX,4
0064107D 8907 MOV DWORD PTR DS:[EDI],EAX
0064107F 83C7 04 ADD EDI,4
00641082 83E9 04 SUB ECX,4
00641085 ^ 77 F1 JA SHORT Domain3_.00641078
00641087 01CF ADD EDI,ECX<----------在这里断F4

00641089 ^\E9 38FFFFFF JMP Domain3_.00640FC6
0064108E 5E POP ESI<----------在这里断F4

0064109D ^\77 F7 JA SHORT Domain3_.00641096
0064109F 803F 19 CMP BYTE PTR DS:[EDI],19<----------在这里断F4


006410A2 ^\75 F2 JNZ SHORT Domain3_.00641096
006410A4 8B07 MOV EAX,DWORD PTR DS:[EDI]<----------在这里断F4


006410C0 ^\E2 D9 LOOPD SHORT Domain3_.0064109B
006410C2 8DBE 00C02300 LEA EDI,DWORD PTR DS:[ESI+23C000]<----------在这里断F4


006410C8 8B07 MOV EAX,DWORD PTR DS:[EDI]
006410CA 09C0 OR EAX,EAX
006410CC 74 3C JE SHORT Domain3_.0064110A
006410CE 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]
006410D1 8D8430 50652400 LEA EAX,DWORD PTR DS:[EAX+ESI+246550]
006410D8 01F3 ADD EBX,ESI
006410DA 50 PUSH EAX
006410DB 83C7 08 ADD EDI,8
006410DE FF96 40662400 CALL DWORD PTR DS:[ESI+246640]
006410E4 95 XCHG EAX,EBP
006410E5 8A07 MOV AL,BYTE PTR DS:[EDI]
006410E7 47 INC EDI
006410E8 08C0 OR AL,AL
006410EA ^ 74 DC JE SHORT Domain3_.006410C8

注意:这里的向会跳是灰色的线的意思是跳转没实现所以就不用去断它

继续F8
注意:CALL 不能断
00641102 ^\EB E1 JMP SHORT Domain3_.006410E5
00641104 FF96 48662400 CALL DWORD PTR DS:[ESI+246648]

到0064110A 61 POPAD<----------在这里断F4



这里的大跳转就是进入口
OK 到入口 点 现在来脱 现在再来查壳  Borland Delphi 6.0 - 7.0 

转载于:https://my.oschina.net/hondfy/blog/135378

weixin_33982670
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳
weixin_30517001的博客
08-22 933
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo这个壳很容易脱壳。当然,手动只是查找到脱壳的位置,然后用OD的插件即可脱壳了。下面举个CrackMes的实例,看下如何脱这个壳,使用的依旧是ESP定律的方法找OEP,程序入口点。(1)OD载入程序,会提示压缩或是加密或是嵌入程序等提示,问...
手动脱UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo+修复
热门推荐
学习........
11-30 1万+
[声明]:纯属技术交流[对象]:flyODBG查壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & LaszloOD载入.flyODBG,也就是对flyODBG脱壳,00581ED0 >  60                 pushad00581ED1    BE 00304F00        mov esi,flyODBG.004F3
UPX脱壳 程序
07-21
UPX脱壳 程序,这个程序很小巧,对绝大数的UPX壳都有很好的效果
upx脱壳(最简单方法之一)
最新发布
2301_80820096的博客
04-13 1002
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
手脱UPX v0.89.6 - v1.02
weixin_30364147的博客
10-21 433
声明: 只为纪录自己的脱壳历程,高手勿喷 这个壳的脱法很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 00457170 > 60 pushad ; //入口 00457171 BE 00904300 mov esi,吾爱破解.00439000...
手动脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
qingye
10-11 4246
手动脱壳  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 教程下载
upx-3.96-win64.zip
08-05
pyinstaller提示UPX is not available就是缺少了UPX.exe文件 The Ultimate Packer for eXecutables Copyright (c) 1996-2020 Markus Oberhumer, Laszlo Molnar & John Reiser https://upx.github.io UPX is an ...
upx-3.96.zip
08-10
标题中的"upx-3.96.zip"表明这是一个包含UPX 3.96版本的压缩包,适用于处理Python项目。 在描述中提到的"python项目达标提示:UPX is not available时补丁软件",这暗示了在某些情况下,当Python项目运行时可能会...
UPX-3.95.zip
10-25
ctf脱壳
手工脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
kong62‘s Blog
08-29 2573
刚在网上找了一个gh0st3.6,准备做下免杀,结果发现已经被加了一层万恶的壳子,真烦人啊。 peid查壳显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo <img title= "手工脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog"
Delphi 加壳 脱壳程序源代码.rar
07-10
一个简单实用的Delphi 加壳, 脱壳程序,可防止拷贝该可执行文件,设置进程显示标志,创建进程,执行该文件,隐藏输入密码的窗口,等待刚才创建的进程运行结束,自定义的加密运算,对密码进行简单的加密,还原加壳前的程序,并执行它,把当前EXE文件内嵌的被加壳程序拷贝到临时文件中,临时文件是在原文件名之前加上,最后SizeOf(LockedFile)字节是密码等信息,不需要读取到临时文件中,此时,临时文件实际上就是被加壳的原程序,设置文件为隐藏,当前EXE文件的参数作为临时文件的执行参数。临时文件是在被加壳文件名前加"__"。
专用UPX脱壳机加密解密
12-11
UPX脱壳机加密解密工具 UPX脱壳机加密解密工具
UPX脱壳机,你们懂的
07-07
一款强力的UPX脱壳机,好东西不多解释。如果出现使用问题或者交流脱壳技术的话,可给我发邮件541977545@qq.com
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
一款专用脱upx脱壳工具
06-10
UPX的壳可以用其自身命令脱: upx -d 文件名 但对于处理过的UPX壳,此命令就不好用了。这时,可以用upxfix工具来修复文件,再用unxfix自带的upx来脱。
脱壳基础知识入门
zacklin的专栏
05-14 3724
现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳。越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加壳了,因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛。壳发展到今天,强度越来越高了,将许多人挡在门外,使得
有关脱壳以及脱壳实例讲解
zacklin的专栏
07-11 4673
当前流行的查壳工具主要以peid和fileinfo这两个软件为代表。 PEiD的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出何种语言编译的。同样,不同的壳也有其特征码,利用这点就可以识别是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt ,用户可以自定义一些特征码,这样就可识别出新的文件类型。
CrackMe020:脱壳 + DarkDe分析
可乐松子的博客
05-25 464
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.程序基本信息2.脱壳方法 1.PEiD通用脱壳器方法 2.OllyDump脱壳3.DarkDe分析4.IDA分析5.验证结果6.参考 1.程序基本信息 程序输入验证没有提示信息,猜测应该是输入序列号后会生成注册码,当注册码等于3E74984B时,逆向才算成功 查壳可以看到,有一个WWPac
upx-win64怎么使用
07-08
要使用 upx-win64,你可以按照以下步骤进行操作: 1. 首先,你需要从 UPX 官方网站(https://upx.github.io/)上下载 upx-win64 的二进制文件。 2. 解压下载的文件,你会得到一个 upx.exe 的可执行文件。 3. 打开命令提示符(CMD)或 PowerShell,并导航到 upx.exe 所在的目录。 4. 现在,你可以使用 upx.exe 命令来压缩或解压缩文件。以下是一些常用命令的示例: - 压缩文件:upx.exe 文件路径 例如:upx.exe C:\path\to\file.exe - 解压缩文件:upx.exe -d 文件路径 例如:upx.exe -d C:\path\to\file.exe 注意:在这些命令中,将 "文件路径" 替换为你要操作的实际文件的路径。 5. 执行命令后,upx-win64 将会压缩或解压缩指定的文件。 请记住,使用 upx 进行文件压缩可能会改变文件的大小和运行行为。在使用之前,请确保备份重要的文件,并在测试过程中验证压缩后的文件是否按预期工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值