论坛风格切换切换到宽版
  • 6780阅读
  • 9回复

请帮忙脱壳 NOD32 Update Viewer 3.02.6 [复制链接]

上一主题 下一主题
离线踏雪无痕
 

发帖
324
金钱
80
威望
8
只看楼主 倒序阅读 0 发表于: 2008-06-13
NOD32 Update Viewer 3.02.6
软件简介:
NOD32 Update Viewer是一款俄罗斯出品的强大的NOD32更新工具。用于查看升级服务器上升级程序和病毒库版本的工具,可以间接的测试连接到NOD32服务器的速度,将升级文件下载回来,可以方便的在没有安装NOD32的情况下备份病毒库。可以为局域网假设FTP服务器,方便更新,这样只需要一个ID。可以添加私人服务器! 文件第一次执行会生成大量文件,请解压到文件夹中运行。最后还支持同时俄罗斯的三款产品的病毒库升级,它们是Dr.WEB、KAV、AVZ!

觉得这是一个非常好用的软件,于是想与众人分享,但发现并不是一件很容易的事!
首先使用 eXeScope 打开这个文件出现下述提示:
图像
然后感觉其中有壳,使用 Peid0.94 版检查,出现下述这结果:
图像
使用 Peid 自带的 Unpacker For UPX 无法找出OEP,
图像
出现下述界面:
图像

使用 Peid Generic Unpacker 点击右侧的 -> 后出现下面显示:
图像
似乎说是检测到了 OEP 的入口,点击下面的 Unpack 后出现提示:
图像
点击“是”之后,解压脱壳开始并完成,目录中多出一个976KB的文件 NOD32view.exe.unpacked_.exe ,原文件为309KB。
但新出来的文件却无法运行,且与原文件一样无法使用 eXeScope 编辑。

试使用 Quick_Unpack_v2.0 进行脱壳,出现下述提示:
图像
图像
还请各位仁兄帮忙,我尽快将其中文处理,呵呵!谢谢!
主文件下载地址:
点击此处下载 NOD32view 主文件
Misses someone whom I never meet; Calls a number which will never get through; Dates someone who never appears; Plants a flowerwhich will never wither... ... Never try...Never know
离线tracky

发帖
1807
金钱
10
威望
1
只看该作者 1 发表于: 2008-06-13
QUOTE(踏雪无痕 @ 2008年 06月 13日 15时 33分) [snapback]347352[/snapback]

NOD32 Update Viewer 3.02.6
软件简介:
NOD32 Update Viewer是一款俄罗斯出品的强大的NOD32更新工具。用于查看升级服务器上升级程序和病毒库版本的工具,可以间接的测试连接到NOD32服务器的速度,将升级文件下载回来,可以方便的在没有安装NOD32的情况下备份病毒库。可以为局域网假设FTP服务器,方便更新,这样只需要一个ID。可以添加私人服务器! 文件第一次执行会生成大量文件,请解压到文件夹中运行。最后还支持同时俄罗斯的三款产品的病毒库升级,它们是Dr.WEB、KAV、AVZ!

觉得这是一个非常好用的软件,于是想与众人分享,但发现并不是一件很容易的事!
首先使用 eXeScope 打开这个文件出现下述提示:
图像
然后感觉其中有壳,使用 Peid0.94 版检查,出现下述这结果:
图像
使用 Peid 自带的 Unpacker For UPX 无法找出OEP,
图像
出现下述界面:
图像

使用 Peid Generic Unpacker 点击右侧的 -> 后出现下面显示:
图像
似乎说是检测到了 OEP 的入口,点击下面的 Unpack 后出现提示:
图像
点击“是”之后,解压脱壳开始并完成,目录中多出一个976KB的文件 NOD32view.exe.unpacked_.exe ,原文件为309KB。
但新出来的文件却无法运行,且与原文件一样无法使用 eXeScope 编辑。

试使用 Quick_Unpack_v2.0 进行脱壳,出现下述提示:
图像
图像
还请各位仁兄帮忙,我尽快将其中文处理,呵呵!谢谢!
主文件下载地址:
点击此处下载 NOD32view 主文件

╭∩╮(︶︿︶)╭∩╮
离线stan52

发帖
141
金钱
10
威望
1
只看该作者 2 发表于: 2008-06-13
离线飞速

发帖
1484
金钱
0
威望
0
只看该作者 3 发表于: 2008-06-15
用diken的upx fix修复一下就可以用upx本身完美脱壳了
Feisu
离线踏雪无痕

发帖
324
金钱
80
威望
8
只看该作者 4 发表于: 2008-06-16
QUOTE
用diken的upx fix修复一下就可以用upx本身完美脱壳了


噢??
有这等事情!看来需要多学习了!呵呵,谢谢飞速兄!
同时也多谢楼上几位的帮忙脱壳!
已下载2楼和3楼的附件,使用eXeScope还是无法打开(是我的软件损坏??),使用PASSOLO打开却是一堆乱码,唉,怎么会这样?!!
[attachmentid=24552]
[attachmentid=24553]
Misses someone whom I never meet; Calls a number which will never get through; Dates someone who never appears; Plants a flowerwhich will never wither... ... Never try...Never know
离线踏雪无痕

发帖
324
金钱
80
威望
8
只看该作者 5 发表于: 2008-06-16
又进行了一下尝试,不使用系统右键集成的“用 eXeScope 编辑资源”,而是先打开eXeScope,然后在打开文件中打开查应的文件,居然可以打开了,呵呵,但是显示的结果却是无法编辑,说是已经被压缩,如下图:
[attachmentid=24554]

我该怎么办?!!
Misses someone whom I never meet; Calls a number which will never get through; Dates someone who never appears; Plants a flowerwhich will never wither... ... Never try...Never know
离线踏雪无痕

发帖
324
金钱
80
威望
8
只看该作者 6 发表于: 2008-06-16
QUOTE(飞速 @ 2008年 06月 15日 16时 43分) [snapback]347383[/snapback]

用diken的upx fix修复一下就可以用upx本身完美脱壳了

从上下载了相关工具,修复显示修复成功,但使用UPX进行解压缩时,告诉我说是“Compressed data violation”!
Misses someone whom I never meet; Calls a number which will never get through; Dates someone who never appears; Plants a flowerwhich will never wither... ... Never try...Never know
离线飞速

发帖
1484
金钱
0
威望
0
只看该作者 7 发表于: 2008-06-16
用HEX编辑工具打开原程序NOD32view.exe可以看到是用3.02版本加壳并混淆的。所以修复后用3.02以下版本的UPX脱壳不行。UPX向下兼容不向上。看图。箭头所指地
图像
UPXFIX原帖地址
http://bbs.pediy.com/showthread.php?t=52140
那可能是你修的不对或者UPX版本过低。请下载最新版本UPX试试。附件为用UPX本身脱壳后的文件。经测试可以使用exescope v6.50打开。用的是主页下载的莫名汉化的版本
BTW.对话框没多少资源,都在字符串里面,ID为1033的是英文的。其余的是俄罗斯语或者别的语言
图像
图像
附件: NOD32view.rar (296 K) 下载次数:11
Feisu
离线踏雪无痕

发帖
324
金钱
80
威望
8
只看该作者 8 发表于: 2008-06-16
感谢飞速兄,我这就去下载新版UPX试试!呵呵
您给的附件我也下载了,打开、编译完全没问题,多谢了!
然后我再试试自己能否将其解开!呵呵
Misses someone whom I never meet; Calls a number which will never get through; Dates someone who never appears; Plants a flowerwhich will never wither... ... Never try...Never know
离线踏雪无痕

发帖
324
金钱
80
威望
8
只看该作者 9 发表于: 2008-06-17
呵呵,发现一个问题,但已经晚了!但同时也发现自己真的很SHA.
看看我用PASSOLO汉化后的结果截图吧:
[attachmentid=24561]
你说我怎么就忘记了汉化一点试试呢?怎么就在基本完工之后才试呢?!
唉,这人呢,犯起晕劲比啥都啥,哈哈

只好再次起笔从头做起了!
另外,哪位仁兄能告诉我这是怎么一回事?如何更改,免重新汉化?!
Misses someone whom I never meet; Calls a number which will never get through; Dates someone who never appears; Plants a flowerwhich will never wither... ... Never try...Never know