关于upx解压snapshot的测试（19.8.29更新）

bfgxp · 发表于 2019-8-27 21:05:19

本帖最后由 bfgxp 于 2019-8-29 13:34 编辑

19.8.29更新
8楼 bhdc 提供了可被upx3.95正常解压的64位版本
9楼 plusv 提供了已经手动脱壳的32位版本
感谢两位高手的修改，要中文化的可以开始玩了
——————————————————————————————以下是原文————————————————————————————
自从rzp428发布了snapshot汉化的相关帖子后，我也一直在尝试upx脱壳，经历了各种失败，现小结如下：

1.只有upx3.03版可以解压snapshot32bit后再次压缩可以正常运行，即使这样也存在一个已知问题，即只能使用外置许可，还有没有其他负作用不可知
2.snapshot64bit却是遇到了更严重的问题，只有upx3.95才有win64版本，然而用3.95版的upx64解压snapshot64bit再压缩回去是不能正常运行的
3.汉化本身不难，难还是难在upx脱壳
4.谁联系下作者看能不能弄个没有加壳的版本，或者开放外置语言文件接口。

江南一根葱 · 发表于 2019-8-27 21:25:09

这软件不是收费软件么，作者会。。。。

lhc0688 · 发表于 2019-8-27 23:24:19

感觉这个软件稳定性还有待观察。

bhdc · 发表于 2019-8-28 13:04:24

本帖最后由 bhdc 于 2019-8-28 16:34 编辑

64位不知道为什么不行。

bfgxp · 发表于 2019-8-28 14:19:58

bhdc 发表于 2019-8-28 13:04
32位用3.95UPX可以压缩解压的，64位不知道为什么不行。

UPX压缩命令：upx.exe --all-methods D:\snapsho ...

解压用什么命令，我用-d
压缩用的-9

bhdc · 发表于 2019-8-28 15:57:58

这个UPX压缩命令不对，上午可以的，下午就不行了，不知道怎么回事，奇怪了。

gtc · 发表于 2019-8-28 16:25:26

本帖最后由 gtc 于 2019-8-28 16:32 编辑

这个是收费软件，我估计官方不会开放什么接口，其实也没有必要非要汉化整个程序，坛子里的高手搞的外挂汉化就很好。

PS：话说这东西更新好快，刚刚下了个又是新版本啊！

bhdc · 发表于 2019-8-29 12:52:10

修改了一个64位，可以用3.95压缩解压了。
压缩命令：upx.exe --all-methods --compress-icons=0 snapshot.exe

plusv · 发表于 2019-8-29 13:07:28

UPX 变形壳,
只能用手动.

DriveSnapShot_X86.zip (1.3 MB, 下载次数: 292)

bfgxp · 发表于 2019-8-29 13:16:20

plusv 发表于 2019-8-29 13:07
UPX 变形壳,
只能用手动.

感谢，原来是变形壳，能针对snapshot写个自动脱壳脚本吗。
方便那些想要汉化又喜欢追新的朋友。

plusv · 发表于 2019-8-29 14:27:44

将 8F bhdc 兄弟的 X64 EXE
1. Shrink 16 KB.
2. Registe.

DriveSnapShot_By_bhdc_Shrink_Registe.zip (845.27 KB, 下载次数: 105)

bhdc · 发表于 2019-8-29 14:33:03

plusv 发表于 2019-8-29 14:27
将 8F bhdc 兄弟的 X64 EXE
1. Shrink 16 KB.
2. Registe.

厉害了，怎么实现注册的？能说下注册方法吗？

plusv · 发表于 2019-8-29 14:40:02

bhdc 发表于 2019-8-29 14:33
厉害了，怎么实现注册的？能说下注册方法吗？

要加入数字标章才能注册喔,
输入注册号才会有效.

bhdc · 发表于 2019-8-29 16:09:12

plusv 发表于 2019-8-29 14:40
要加入数字标章才能注册喔,
输入注册号才会有效.

麻烦说下数字标章怎么加的，谢谢？

plusv · 发表于 2019-8-29 16:30:13

bhdc 发表于 2019-8-29 16:09
麻烦说下数字标章怎么加的，谢谢？

1.
从原文件 EXE 查找 HEX
30 25 00 00 00 02 02 00 30 82 25 1E 06 09 2A 86 48 86 F7 0D 01 07 02 A0 82 25 0F 30 82 25 0B 02
复制所有 HEX 到文件尾

2.
黏贴到新文件尾(先记下"未黏贴"时的地址"加 1")

3.
修改新文件保全文件夹(Security Directory)
地址 : 在 2 时,"未黏贴"时的地址"加 1"
大小 : 2FD8
存储 EXE 文件

4.
运行 EXE ,并输入注册号,出现成功,关闭重新运行 EXE 就自动内置注册,单文件 EXE.

进士小站 · 发表于 2019-8-29 16:56:46

等待伸手中……感谢分享

bhdc · 发表于 2019-8-29 17:12:59

plusv 发表于 2019-8-29 16:30
1.
从原文件 EXE 查找 HEX
30 25 00 00 00 02 02 00 30 82 25 1E 06 09 2A 86 48 86 F7 0D 01 07 02 A0 ...

好的，谢谢，问下是用什么软件修改？

plusv · 发表于 2019-8-30 19:05:45

bhdc 发表于 2019-8-29 17:12
好的，谢谢，问下是用什么软件修改？

我用 HxD

wych12 · 发表于 2019-8-31 11:53:11

plusv 发表于 2019-8-29 16:30
1.
从原文件 EXE 查找 HEX
30 25 00 00 00 02 02 00 30 82 25 1E 06 09 2A 86 48 86 F7 0D 01 07 02 A0 ...

plusv老师，能录个详细教程吗？按照您的文字教程操作不成功，不知道哪里有问题？另外，第1条中的HEX在已破解的文件中不是已经有了吗？还有第3条保全文件夹(Security Directory)没理解如何操作？我使用的UltraEdit 。感谢plusv老师指导！wych12@126.com

bhdc · 发表于 2019-8-31 13:36:13

plusv 发表于 2019-8-30 19:05
我用 HxD

谢谢指导，修改成功

plusv · 发表于 2019-8-31 13:52:35

wych12 发表于 2019-8-31 11:53
plusv老师，能录个详细教程吗？按照您的文字教程操作不成功，不知道哪里有问题？另外，第1条中的HEX在已 ...

>第1条中的HEX在已破解的文件中不是已经有了吗？
就算是有了,
只是 1 不用做,
但仍要在 2 中做修正才可以.

>还有第3条保全文件夹(Security Directory)没理解如何操作？
Security Directory 是 PE Format 的一部份,
可参考
https://3gstudent.github.io/隐写技巧-在PE文件的数字证书中隐藏Payload/

简单说:
内置注册=(DriveSnapShot.exe + UPX 压缩 + 数字证书) -> 运行 EXE -> 输入注册号 -> 关闭重新运行 EXE

wych12 · 发表于 2019-8-31 14:04:46

plusv 发表于 2019-8-31 13:52
>第1条中的HEX在已破解的文件中不是已经有了吗？
就算是有了,
只是 1 不用做,

感谢 plusv 老师指点，感觉这个对我来说有难度，只能尝试下！！！

chishingchan · 发表于 2019-9-1 10:44:08

plusv 发表于 2019-8-31 13:52
>第1条中的HEX在已破解的文件中不是已经有了吗？
就算是有了,
只是 1 不用做,

请教如何手动脱壳并让Win7/8/10也能正常运行

bhdc · 发表于 2019-9-3 13:10:30

本帖最后由 bhdc 于 2019-9-3 13:32 编辑

chishingchan 发表于 2019-9-1 10:44
plusv 那几步难明到死！你竟然懂了！求分享发表于昨天 11:54

教程 https://3gstudent.github.io/隐写技巧-在PE文件的数字证书中隐藏Payload/

CFF Explorer找到Security Directory偏移和大小就可以修改了。

bhdc · 发表于 2019-9-3 16:01:57

本帖最后由 bhdc 于 2019-9-3 16:08 编辑

bhdc 发表于 2019-9-3 13:10
教程 https://3gstudent.github.io/隐写技巧-在PE文件的数字证书中隐藏Payload/

CFF Explorer找到Se ...

1.
CFF Explorer从修改后的 EXE 查找 HEX 记下偏移地址
30 25 00 00 00 02 02 00 30 82 25 1E 06 09 2A 86 48 86 F7 0D 01 07 02 A0 82 25 0F 30 82 25 0B 02

2.
CFF Explorer修改Security Directory偏移地址后保存。

plusv · 发表于 2019-9-3 22:52:03

Security Directory 位置:
X86: PE 头 + Offset 98
X64: PE 头 + Offset A8
PE 头 : 50 45 00 00

HxD:
X86
1. Ctrl+F -> 50 45 00 00 -> Hex-values
2. 光标移到 50
3. Ctrl+G -> 98 -> current offset
4. 4 Bytes=地址 , 4 Bytes=大小

HxD:
X64
1. Ctrl+F -> 50 45 00 00 -> Hex-values
2. 光标移到 50
3. Ctrl+G -> A8 -> current offset
4. 4 Bytes=地址 , 4 Bytes=大小

wych12 · 发表于 2019-9-4 20:51:53

plusv 发表于 2019-9-3 22:52
Security Directory 位置:
X86: PE 头 + Offset 98
X64: PE 头 + Offset A8

感谢plusv 大神分享成果，造福坛友！！！

rzp428 · 发表于 2019-9-5 13:35:18

bhdc 发表于 2019-9-3 16:01
1.
CFF Explorer从修改后的 EXE 查找 HEX 记下偏移地址
30 25 00 00 00 02 02 00 30 82 25 1E 06 09 ...

谢谢老师指导！

rzp428 · 发表于 2019-9-5 13:35:34

plusv 发表于 2019-9-3 22:52
Security Directory 位置:
X86: PE 头 + Offset 98
X64: PE 头 + Offset A8

谢谢老师指导！

wangchobo · 发表于 2019-10-20 02:11:48

本帖最后由 wangchobo 于 2019-10-21 11:22 编辑

韩语

感谢您提供有关如何使用CFF Explorer或HxD进行编辑的详细说明，它对您有很大的帮助
非常感谢你

祝福你

		自动登录	找回密码
密码			注册

[讨论] 关于upx解压snapshot的测试（19.8.29更新）

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

评分

点评

评分