UPX脱壳修改
啊D壳UPX0.89.6-1.02/1.05-1.24(Delphi)stub->Markus&Laszlo这个,我把他脱了,BorlandDelphi6.0-7.0就变...
啊D壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo这个,我把他脱了,Borland Delphi 6.0 - 7.0就变这个,问下,我用Restorator修改,为什么修改不了,说文件已经损坏捏?
展开
展开全部
1.首先不知道你是用什么软件脱的是OD还是专用的脱壳机。2.脱壳后能不能运行,是否进行IAT修复。3.文件是否有自校验的现象。4.脱壳后,建议使用FixRes 修复下资源,然后再使用Restorator 修改。Restorator不好用就换eXeScope
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
展开全部
下载了4.5.6版本,看了一下,有个简单的长度检验,跳过去就可以运行了
nettv.exe是UPX壳,使用upx-ripper自动脱壳
修改1个字节
00416C97 FF15 A0114000 call dword ptr ds:[<&MSVBVM60.#578>] ; MSVBVM60.rtcFileLen
//取文件长度
00416C9D 8985 58FFFFFF mov dword ptr ss:[ebp-A8],eax
00416CA3 8D85 04FFFFFF lea eax,dword ptr ss:[ebp-FC]
00416CA9 50 push eax
00416CAA 8D8D 08FFFFFF lea ecx,dword ptr ss:[ebp-F8]
00416CB0 51 push ecx
00416CB1 6A 02 push 2
00416CB3 FF15 94114000 call dword ptr ds:[<&MSVBVM60.__vbaFr>; MSVBVM60.__vbaFreeStrList
00416CB9 83C4 0C add esp,0C
00416CBC 8D8D F4FEFFFF lea ecx,dword ptr ss:[ebp-10C]
00416CC2 FF15 20124000 call dword ptr ds:[<&MSVBVM60.__vbaFr>; MSVBVM60.__vbaFreeObj
00416CC8 8D95 C4FEFFFF lea edx,dword ptr ss:[ebp-13C]
00416CCE 52 push edx
00416CCF 8D85 D4FEFFFF lea eax,dword ptr ss:[ebp-12C]
00416CD5 50 push eax
00416CD6 8D8D E4FEFFFF lea ecx,dword ptr ss:[ebp-11C]
00416CDC 51 push ecx
00416CDD 6A 03 push 3
00416CDF FF15 2C104000 call dword ptr ds:[<&MSVBVM60.__vbaFr>; MSVBVM60.__vbaFreeVarList
00416CE5 83C4 10 add esp,10
00416CE8 C745 FC 05000000 mov dword ptr ss:[ebp-4],5
00416CEF 8B8D 58FFFFFF mov ecx,dword ptr ss:[ebp-A8]
00416CF5 81E9 00F00100 sub ecx,1F000
//脱壳前的长度是1F000
00416CFB 0F80 CC560000 jo nettv.0041C3CD
00416D01 FF15 78104000 call dword ptr ds:[<&MSVBVM60.__vbaI4>; MSVBVM60.__vbaI4Abs
00416D07 3D 00040000 cmp eax,400
00416D0C 7E 0D jle short nettv.00416D1B
//改为:jmp 00416D1B ★★
00416D0E C745 FC 06000000 mov dword ptr ss:[ebp-4],6
00416D15 FF15 30104000 call dword ptr ds:[<&MSVBVM60.__vbaEn>; MSVBVM60.__vbaEnd
//Game Over!
可以运行了
nettv.exe是UPX壳,使用upx-ripper自动脱壳
修改1个字节
00416C97 FF15 A0114000 call dword ptr ds:[<&MSVBVM60.#578>] ; MSVBVM60.rtcFileLen
//取文件长度
00416C9D 8985 58FFFFFF mov dword ptr ss:[ebp-A8],eax
00416CA3 8D85 04FFFFFF lea eax,dword ptr ss:[ebp-FC]
00416CA9 50 push eax
00416CAA 8D8D 08FFFFFF lea ecx,dword ptr ss:[ebp-F8]
00416CB0 51 push ecx
00416CB1 6A 02 push 2
00416CB3 FF15 94114000 call dword ptr ds:[<&MSVBVM60.__vbaFr>; MSVBVM60.__vbaFreeStrList
00416CB9 83C4 0C add esp,0C
00416CBC 8D8D F4FEFFFF lea ecx,dword ptr ss:[ebp-10C]
00416CC2 FF15 20124000 call dword ptr ds:[<&MSVBVM60.__vbaFr>; MSVBVM60.__vbaFreeObj
00416CC8 8D95 C4FEFFFF lea edx,dword ptr ss:[ebp-13C]
00416CCE 52 push edx
00416CCF 8D85 D4FEFFFF lea eax,dword ptr ss:[ebp-12C]
00416CD5 50 push eax
00416CD6 8D8D E4FEFFFF lea ecx,dword ptr ss:[ebp-11C]
00416CDC 51 push ecx
00416CDD 6A 03 push 3
00416CDF FF15 2C104000 call dword ptr ds:[<&MSVBVM60.__vbaFr>; MSVBVM60.__vbaFreeVarList
00416CE5 83C4 10 add esp,10
00416CE8 C745 FC 05000000 mov dword ptr ss:[ebp-4],5
00416CEF 8B8D 58FFFFFF mov ecx,dword ptr ss:[ebp-A8]
00416CF5 81E9 00F00100 sub ecx,1F000
//脱壳前的长度是1F000
00416CFB 0F80 CC560000 jo nettv.0041C3CD
00416D01 FF15 78104000 call dword ptr ds:[<&MSVBVM60.__vbaI4>; MSVBVM60.__vbaI4Abs
00416D07 3D 00040000 cmp eax,400
00416D0C 7E 0D jle short nettv.00416D1B
//改为:jmp 00416D1B ★★
00416D0E C745 FC 06000000 mov dword ptr ss:[ebp-4],6
00416D15 FF15 30104000 call dword ptr ds:[<&MSVBVM60.__vbaEn>; MSVBVM60.__vbaEnd
//Game Over!
可以运行了
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
