手动脱壳进阶第1篇Petite2.2
Petite2.2具有10级的压缩级别,可以同时压缩 PE 文件的输入/输出表,去除重定位表,并且加上检测病毒的功能,即可以用来给 PE 文件减肥,也可以用来保护自己的程序。评价:压缩级别选9级很费时间,压缩比同Upx和Aspack差不多,优点是具备病毒检测功能,病毒修改未脱壳后会有发现病毒警告,使用了结构化异常处理SEH反跟踪调试,正常运行时没影响。属入门级加密壳
1用od载入
0040D042 > B8 00D04000 MOV EAX,Notepad.0040D000 od载入停这 f8向下执行
0040D047 68 4C584000 PUSH Notepad.0040584C
0040D04C 64:FF35 0000000>PUSH DWORD PTR FS:[0]
0040D053 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040D05A 66:9C PUSHFW
0040D05C 60 PUSHAD
0040D05D 50 PUSH EAX 经过关键字 pushad 可以用esp定律脱了
观察esp寄存器里数据 我的是13ff9a
2在命令行打 hr 13ff9a
3 按f9 程序被中断在
0040D03D 66:9D POPFW 断在这 f8向下
0040D03F 83C4 08 ADD ESP,8
0040D042 >- E9 8540FFFF JMP Notepad.004010CC 大的跳转 到oep了哦 od插件dump就可以了
0040D047 - E9 C49E237D JMP SHELL32.DragFinish
无须修复
Petite2.2具有10级的压缩级别,可以同时压缩 PE 文件的输入/输出表,去除重定位表,并且加上检测病毒的功能,即可以用来给 PE 文件减肥,也可以用来保护自己的程序。评价:压缩级别选9级很费时间,压缩比同Upx和Aspack差不多,优点是具备病毒检测功能,病毒修改未脱壳后会有发现病毒警告,使用了结构化异常处理SEH反跟踪调试,正常运行时没影响。属入门级加密壳
1用od载入
0040D042 > B8 00D04000 MOV EAX,Notepad.0040D000 od载入停这 f8向下执行
0040D047 68 4C584000 PUSH Notepad.0040584C
0040D04C 64:FF35 0000000>PUSH DWORD PTR FS:[0]
0040D053 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040D05A 66:9C PUSHFW
0040D05C 60 PUSHAD
0040D05D 50 PUSH EAX 经过关键字 pushad 可以用esp定律脱了
观察esp寄存器里数据 我的是13ff9a
2在命令行打 hr 13ff9a
3 按f9 程序被中断在
0040D03D 66:9D POPFW 断在这 f8向下
0040D03F 83C4 08 ADD ESP,8
0040D042 >- E9 8540FFFF JMP Notepad.004010CC 大的跳转 到oep了哦 od插件dump就可以了
0040D047 - E9 C49E237D JMP SHELL32.DragFinish
无须修复