PECompact V2.40 简便脱壳二法,PECompact,脱壳技术 2008年06月23日 星期一 下午 06:54 【调试环境】:WinXP、Ollydbg V1.10、PEiD、LordPE、ImportREC ――――――――――――――――――――――――――――――――― 【脱壳过程】: 看到有兄弟问,所以简单写几句。 准备扔西红柿的兄弟可否考虑扔西瓜过来给我?呵呵 用PECompact V2.40汉化版给Win98的记事本加壳,PECompact的压缩效果已经不错了。 设置Ollydbg忽略所有的异常选项。 ――――――――――――――――――――――――――――――――― 一、第一种方法 004010CC B8 E8E54000 mov eax,Notepad.0040E5E8//进入OD后暂停在这 004010D1 50 push eax 004010D2 64:FF35 00000000 push dword ptr fs:[0] 004010D9 64:8925 00000000 mov dword ptr fs:[0],esp 004010E0 33C0 xor eax,eax 004010E2 8908 mov dword ptr ds:[eax],ecx 下断:BP VirtualFree 中断后取消断点,Ctrl F9两次,返回0040E695处 0040E693 FFD7 call edi 0040E695 8985 23120010 mov dword ptr ss:[ebp 10001223],eax; Notepad. 0040E69B 8BF0 mov esi,eax 0040E69D 59 pop ecx 0040E69E 5A pop edx 0040E69F 03CA add ecx,edx 0040E6A1 68 00800000 push 8000 0040E6A6 6A 00 push 0 0040E6A8 57 push edi 0040E6A9 FF11 call dword ptr ds:[ecx]; kernel32.VirtualFree 0040E6AB 8BC6 mov eax,esi 0040E6AD 5A pop edx 0040E6AE 5E pop esi 0040E6AF 5F pop edi 0040E6B0 59 pop ecx 0040E6B1 5B pop ebx 0040E6B2 5D pop ebp 0040E6B3 FFE0 jmp eax; Notepad. //飞向光明之巅! ^O^ ――――――――――――――――――――――――――――――――― 二、第二种方法 004010CC B8 E8E54000 mov eax,Notepad.0040E5E8//进入OD后暂停在这 004010D1 50 push eax 004010D2 64:FF35 00000000 push dword ptr fs:[0] 004010D9 64:8925 00000000 mov dword ptr fs:[0],esp 004010E0 33C0 xor eax,eax 004010E2 8908 mov dword ptr ds:[eax],ecx 看到这个004010CC的入口,各位兄弟该有想法了吧?呵呵 PECompact V1.84等旧版都是: JMP XXXXXXXX PUSH XXXXXXXX//OEP的RVA 而新版索性就直接以原OEP为壳入口地址了 下断:HE EIP F9运行,直接中断在OEP处了 004010CC 55 push ebp//OEP 004010CD 8BEC mov ebp,esp 004010CF 83EC 44 sub esp,44 004010D2 56 push esi 004010D3 FF15 E4634000 call dword ptr ds:[4063E4]; kernel32.GetCommandLineA 拿出LordPE来DUMP进程,ImportREC修复输入表吧。 注:第2种方法不适用于Delphi程序,看来很多壳对Delphi都特别“照顾”呀。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 19:22 , Processed in 0.443318 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.