如何脱壳:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]

原创 2007年09月20日 21:51:00
 
我是个初学者,第一次写破文,有错误之处,请大虾们指出,谢谢!

从www.cpzj.zj.com 下载完QQsee,解压后发现只有一个主程序qqsee.exe

用PEid查了一下:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]

试过了很多脱壳工具,包括有名的Procdump,脱不掉.郁闷 T_T(看来还要学学脱壳)。没办法,不能来硬的~~换个方法吧~~

用Filemon 监视了一下,发现软件读取同一目录下的几个文件,看了一下,却找不到,于是就试试把隐藏文件显示出来,

看到有个QQsee.uzy的文件,好,找到蛛丝马迹了。用记事本打开,大发现!

(乱码)This program cannot be run in DOS mode.
程序不能在DOS下运行

很熟悉吧?下面还有

text data rsrc MSVBVM60.DLL


把后缀改成exe,哈~~运行正常~~~~用PEID查:Microsoft Visual Basic 5.0 / 6.0(其实不用查也知道了)这下好了,

连壳也不用脱了~奇怪的是这个程序只有280K,原程序是2.67M,而且这个小程序能独立运行,功能也没少。加壳还把程序

加大了?真不明白~~~作者还真逗嘛!


既然是VB写的,那就用SmartCheck好了,启动SmartCheck,载入,运行,切换到注册,

邮箱: 260256505@163.com

注册码:12345 67890 12345 67890


提示“错误的注册码!”


切换到SmartCheck的窗口,找到最后的“_Click”展开,看到前几个字符串都是邮箱名。一直

往下找,发现程序逐一取字符去计算,拖到最下面的时候发现了一个字符串很可疑



635231531940091377616


数了数,21位,不管了,试试再说!输入前20位,点注册按扭,下面赫然写着几个大字:



你已成功注册!


好了,破解到此就告一段落了。整理一下:


260256505@163.com

63523 15319 40091 37761

注册信息保存在c:/windows/system32/qqlogin.exe,把它改成qqlogin.txt就一目了然了

用 WinHex 试试 ,发现也能找到正确的注册码,试了几个后面都多一个“6”,好象是没用的。

这里就不详细说了。累了 :-)

简单脱壳教程笔记(7)---手脱PECompact2.X壳

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: ...

简析脱 PEBundle 2.0x - 2.4x-> Jeremy Collake

SwiSHmax是Flash编辑工具 SwiSHzone家族的新成员,假如您想要不使用Flash来制作强大或令人惊叹的动画,SwiSHmax是您最佳的选择。 他采用的是PEBundle 2.0x -...

专门脱 PECompact 壳的脱壳工具

  • 2006年01月05日 14:59
  • 111KB
  • 下载

脱壳中的附加数据问题(overlay)

1.前言   最近,在 论坛 上看到很多人在弄附加数据overlay的问题,加上上次答应了各位兄弟所以觉得写一些着方面的废话。如果下面的内容对你有帮助那是最好。   这篇文章我们将解决以下问题:1.什...
  • yatere
  • yatere
  • 2011年05月15日 01:47
  • 836

手动脱PeCompact 2.20壳实战

PeCompact壳又是一个没有听说过的壳,需要脱壳的程序是吾爱破解培训的第一课的选修作业四。最近对脱壳有点上瘾了,当然也遭受了脱壳受挫的无奈,但是比较幸运还是把这个壳给搞了。   对加壳程序进行查壳...

PECompact加壳

  • 2012年11月12日 09:37
  • 236KB
  • 下载

软件加壳保护工具 PECompact_v3.022

  • 2013年03月04日 12:02
  • 1.97MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何脱壳:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
举报原因:
原因补充:

(最多只允许输入30个字)