|
【破文标题】破解UPolyX 0.51壳 【破文作者】仙果 【作者邮箱】xianguo1985@163.com 【作者主页】http://hi.baidu.com/zhanglinguo11 【破解工具】OD PEID 【破解平台】Win32-XPsp2 【软件简介】今天在网络上UPolyX 0.5这个壳的资料,发现关于这个壳的破解资料很少,自己动手进行了破解,算是给这个壳多点资料把! 【破解声明】纯属个人爱好 ------------------------------------------------------------------------ 【破解过程】最新版本是UPolyX 0.51,就以这个最新版本进行破解,破解样本是记事本程序。 这个加壳程序是对UPX加壳过的程序进行二次加壳或加密。 先压缩后进行加密 PEID显示为:什么都没找到 核心扫描为:ARJ Archive * //不晓得代表什么意思 OD载入,代码为: 010143B8 > 0FB7CF MOVZX ECX,DI //停在这里 010143BB D1D6 RCL ESI,1 010143BD 69EF 6B823D0C IMUL EBP,EDI,0C3D826B 010143C3 EB 01 JMP SHORT 11.010143C6 010143C5 C3 RETN //从下面跳至这里 010143C6 BE 40420101 MOV ESI,11.01014240 010143CB 83EC 04 SUB ESP,4 010143CE 893424 MOV DWORD PTR SS:[ESP],ESI 010143D1 B9 B0000000 MOV ECX,0B0 010143D6 8136 8E931300 XOR DWORD PTR DS:[ESI],13938E 010143DC 51 PUSH ECX 010143DD 33C9 XOR ECX,ECX 010143DF B9 04000000 MOV ECX,4 010143E4 83C6 01 ADD ESI,1 010143E7 ^ E2 FB LOOPD SHORT 11.010143E4 010143E9 59 POP ECX 010143EA 83E9 03 SUB ECX,3 010143ED ^ E2 E7 LOOPD SHORT 11.010143D6 010143EF ^ EB D4 JMP SHORT 11.010143C5 很简单的代码 JMP SHORT 11.010143C5 是一个向上的跳转,跳到 RETN的地方,然后继续 0101423D 00FF ADD BH,BH 0101423F 0060 BE ADD BYTE PTR DS:[EAX-42],AH 01014242 0000 ADD BYTE PTR DS:[EAX],AL 01014244 0101 ADD DWORD PTR DS:[ECX],EAX 01014246 8DBE 0010FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF1000] 0101424C 57 PUSH EDI 0101424D 83CD FF OR EBP,FFFFFFFF 01014250 EB 10 JMP SHORT 11.01014262 01014252 90 NOP 其实是跳往01014240,但鼠标动以下就会变成以上的汇编代码,需要右键-分析-分析代码,分析后就可以看到如下代码 01014240 . 60 PUSHAD 01014241 . BE 00000101 MOV ESI,11.01010000 01014246 . 8DBE 0010FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF1000] 0101424C . 57 PUSH EDI 0101424D . 83CD FF OR EBP,FFFFFFFF 01014250 . EB 10 JMP SHORT 11.01014262 01014252 90 NOP 01014253 90 NOP 01014254 9
(责任编辑:网络) |
|