手脫 -- PECompact 2.x -> Jeremy Collake

最新推荐文章于 2017-10-26 02:52:00 发布
最新推荐文章于 2017-10-26 02:52:00 发布
阅读量3.7k 收藏
点赞数
分类专栏: 逆向工程 文章标签: c 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leitianjun/article/details/4441562
版权
本文介绍了如何手动对使用PECompact 2.x加壳的程序进行脱壳,通过OD载入程序并利用ESP定律进行分析,最终找到原始OEP。在脱壳后注意可能存在无效指针问题,可以利用kernel32.dll的GetProcAddress函数进行修复。
摘要由CSDN通过智能技术生成

手脫 -- PECompact 2.x -> Jeremy Collake
PEID: PECompact 2.x -> Jeremy Collake
脱壳工具下载有专用的脱壳工具,这里做为练手。
OD载入加了壳的程序.
入口点: --- 这里很怪如果你F8走, 走到00401016 就会飞
1.先忽略所有异常.
2. F8 行两步 , 这里可以用ESP定律
00401000 >  B8 DC2B4100     MOV EAX,rcrawler.00412BDC
00401005    50              PUSH EAX
00401006    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0040100D    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00401014    33C0            XOR EAX,EAX
00401016    8908            MOV DWORD PTR DS:[EAX],ECX
00401018    50              PUSH EAX
00401019    45              INC EBP
0040101A    43              INC EBX
0040101B    6F              OUTS DX,DWORD PTR ES:[EDI]               ; I/O 命令
0040101C    6D              INS DWORD PTR ES:[EDI],DX                ; I/O 命令
0040101D    70 61           JO SHORT Adler32C.00401080

ESP定律之後 -- 取消断点  -- 就到了这里
7C968F86    3B45 F8         CMP EAX,DWORD PTR 

最低0.47元/天 解锁文章
动起手来实现白日梦
关注
专栏目录
pecompact 2.x-3.x 最新脱壳机
11-28
标题 "pecompact 2.x-3.x 最新脱壳机" 指向的是一个专门针对 PECompact 2.x 至 3.x 版本压缩壳的脱壳工具PECompact 是一种流行的可执行文件压缩和保护技术,它用于减小程序体积并提供一定程度的反调试和反逆向工程...
快速脱PECompact_2.x_-_Jeremy_Collake
07-25
快速脱PECompact_2.x_-_Jeremy_Collake教程
手动脱壳----PECompact 2.x -> Jeremy Collake
xkjcf 丛飞 家·国·天下
04-21 1767
网上也有很多手动脱壳的教程,但是光看不写总觉的像自己没学过似的。   操作环境:        操作系统:Windows 7 Ultimate        OD版本:Olldbg 1.10        被脱壳软件:文章最后提供下载 下边利用ESP原理脱壳。   首先使用OD载入图标王程序,出现提示确定即可。开头的代码如下: 00405A99 > $ B8 D0C74200
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
12-31
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
珊瑚虫QQ外挂3.06脱壳
~CharmSky~
04-20 1342
1.CoralQQ.exe用peid查,显示是PECompact 2.x -> Jeremy Collake的壳用OD载入后停在00401000     B8 D4A14300         mov eax,CoralQQ.0043A1D4       F8单步运行00401005     50                  push eax00401006     64:FF35 0000
脱壳第二讲,手动脱壳PECompact 2.x
weixin_30664051的博客
10-26 339
              脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳,先查壳. 发现是这个壳 利用Esp定律,脱掉这个壳. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析...
语音脱PECompact 2.x - Jeremy Collake的壳
07-29
语音脱PECompact 2.x - Jeremy C语音脱PECompact 2.x - Jeremy Collake的壳ollake的壳
简单脱壳教程笔记(7)---手脱PECompact2.X壳
weixin_30858241的博客
07-21 233
本笔记是针对ximo早期发的脱壳基础视频教程。整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: FSG壳是一款压缩壳。我们这里使用9种方式来进行脱壳 工具:ExeinfoPEPEid、OD、LordPE、ImportRECons...
壳学习一:PECompact 2.x 加壳脱壳
禾苗雨的专栏
02-06 3106
壳学习一:PECompact 2.x 加壳脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-51、加壳过程自动动手编写一个简单的窗体程序NullForm.exe。使用PECompact2.7加壳(按默认选项),生成已加壳程序NullFormPe.exe.原始文件与加
脫殼工具PECompact 2[1].x-3.x 免安裝版
07-06
脫殼工具PECompact 2[1].x-3.x 免安裝版
PECompact脱壳工具
04-18
很不容易找到的,最新版的,,可以一试哈,能脱PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能脱的壳,,我都用过了,强烈建议试用
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
pecompact-3.0.2.rar_PECompact
09-14
Just pe compact exe, its is not source: P
PECompact 3.11简体中文汉化版.rar
09-02
软件介绍: PECompact是一款EXE可执行文件压缩及加壳工具,它的压缩率非常高,而且压缩后的程序不需要解压就能直接运行。在使用时不需要恢复压缩后的数据,所以压缩后的程序启动速度与压缩前基本没有明显的差异。一些(不是全部)安装/设置/自解压的可执行文件不能被压缩,并保持正常运行。这是由于他们的设计(参考叠加/额外的数据通过一个恒定的物理偏移量)。可以在常规选项中设置压缩选项,允许多重压缩、在压缩之前备份程序,压缩资源可以安全压缩,模拟叠加/额外数据(用于自解压,安装等),执行内存保护及执行代码完整性检查。可以设置选项到最大压缩以及设置选项到最大解压速度。FFCE 具有较好的补偿比率及快速解压缩。LZMA 算法具有更好的补偿比率但解压缩速度较慢。
如何脱壳:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
Jack_Sparrw
09-20 3952
 我是个初学者,第一次写破文,有错误之处,请大虾们指出,谢谢!从www.cpzj.zj.com 下载完QQsee,解压后发现只有一个主程序qqsee.exe用PEid查了一下:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]试过了很多脱壳工具,包括有名的Procdump,脱不掉.郁闷 T_T(看来还要学学脱壳)。没办法,不能来硬的~~换个方法吧
简析脱 PEBundle 2.0x - 2.4x-> Jeremy Collake
独上高楼,望断天涯路
06-27 3752
SwiSHmax是Flash编辑工具 SwiSHzone家族的新成员,假如您想要不使用Flash来制作强大或令人惊叹的动画,SwiSHmax是您最佳的选择。 他采用的是PEBundle 2.0x - 2.4x-> Jeremy Collake加壳,PEBundle是一个捆绑壳用ESP定律很好脱,不过SwiSHmax采用了PEBundle的注册系统来授权,这个好办把壳脱了绕过注册系统就可以破解~
脱壳-PeCompact(2.20)
谢绝(无视)留言与私信
02-13 965
前言脱壳练习, PeCompact是压缩壳查壳PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
脱一个PECompact2.X的壳
enolaZ的专栏
10-10 1767
RamSmash 手动脱壳+破解作者:enolaZ软件说明:这个软件是优化内存用的,注册与未注册在功能上没有区别,但未注册版本会每小时弹出一个要求注册的NAG窗口,当选择REGISTER NOW的BUTTON后会打开注册网页(有时好象是一堆。。)破解目的:手动脱壳去掉该NAG窗口声明: 本文纯属学习交流,请不要随意散布或用于商业用途。在下菜鸟一只,欢迎各位高手批评指教 用OD加载,停在入口
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值