PECompact 2.5脱壳

最新推荐文章于 2023-06-28 10:07:08 发布
最新推荐文章于 2023-06-28 10:07:08 发布
阅读量1.2k 收藏
点赞数
文章标签: c byte
 文章来源于黑鹰教程

PECompact 2.5 Retail -> Jeremy Collake

设置Ollydbg忽略所有的异常选项。
od载入

01001000 N>  B8 90BA0101     mov eax,NOTEPAD.0101BA90
01001005     50              push eax                               ; NOTEPAD.0101BA90
01001006     64:FF35 0000000>push dword ptr fs:[0]
0100100D     64:8925 0000000>mov dword ptr fs:[0],esp
01001014     33C0            xor eax,eax
01001016     8908            mov dword ptr ds:[eax],ecx
01001018     50              push eax

下断点:BP VirtualFree。中断后,取消断点,Alt+F9。

002F00C0     58              pop eax //返回到这
002F00C1     EB 03           jmp short 002F00C6
002F00C3     33C0            xor eax,eax
002F00C5     48              dec eax
002F00C6     5D              pop ebp
002F00C7     5B              pop ebx

然后,ctrl+F ,查找 push 8000(特征码)。

002F093E     03C7            add eax,edi
002F0940     68 00800000     push 8000   //这里
002F0945     6A 00           push 0
002F0947     FFB5 951C0010   push dword ptr ss:[ebp+10001C95]
002F094D     FF10            call dword ptr ds:[eax]
002F094F     8B46 0C         mov eax,dword ptr ds:[esi+C]
002F0952     03C7            add eax,edi
002F0954     5D              pop ebp
002F0955     5E              pop esi
002F0956     5F              pop edi
002F0957     5B              pop ebx
002F0958     C3              retn  //此处f2 ,下断


F9 ,运行,此时断了。单步f8,来到

0101BB3D     8985 C8120010   mov dword ptr ss:[ebp+100012C8],eax    ; NOTEPAD.0100739D
0101BB43     8BF0            mov esi,eax
0101BB45     59              pop ecx
0101BB46     5A              pop edx
0101BB47     EB 0C           jmp short NOTEPAD.0101BB55
0101BB49     03CA            add ecx,edx
0101BB4B     68 00800000     push 8000
0101BB50     6A 00           push 0
0101BB52     57              push edi
0101BB53     FF11            call dword ptr ds:[ecx]
0101BB55     8BC6            mov eax,esi
0101BB57     5A              pop edx
0101BB58     5E              pop esi
0101BB59     5F              pop edi
0101BB5A     59              pop ecx
0101BB5B     5B              pop ebx
0101BB5C     5D              pop ebp
0101BB5D     FFE0            jmp eax             //跳到oep
0101BB5F     0000            add byte ptr ds:[eax],al
0101BB61     0000            add byte ptr ds:[eax],al

0100739D     6A 70           push 70  //OEP
0100739F     68 98180001     push PECompac.01001898
010073A4     E8 BF010000     call PECompac.01007568
010073A9     33DB            xor ebx,ebx
010073AB     53              push ebx
010073AC     8B3D CC100001   mov edi,dword ptr ds:[10010CC]      ; kernel32.GetModuleHandleA
010073B2     FFD7            call edi
010073B4     66:8138 4D5A    cmp word ptr ds:[eax],5A4D
010073B9     75 1F           jnz short PECompac.010073DA

 

下面就是DUMP进程,ImportREC修复输入表了。

liang_lq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
八种方法脱PECompact壳
Lorezon的博客
06-30 1339
注:文中涉及到的方法、例子等均来源于52pojie社区,学习过程中总结方便以后阅读 方法一:单步跟踪 F8跟进,遇到跑飞的Call就F7进入 遇到sysenter也会跑飞,同样F7进入,之后单步跟,即可找到OEP 方法二:ESP定律法 单步跟进,发现右侧ESP突变,数据窗口跟随,然后硬件访问>word 运行,之后删除硬件访问,之后单步跟进 方法三:下BP VirtualFree断点(一次运行) 下断点后Shift+F9运行,来到这里 之后F2取消断点,然后Alt+F9执行到用户代码 然后搜索
PECompact3.0
寻梦&之璐
01-30 294
新套路(1) bp VirtualFree 在这里输入bp VirtualFree ,紧接着回车,然后执行 执行到用户代码 执行后界面变成这样,然后取消此处断点。 紧接着执行到用户代码(Alt+F9)或者如下图操作 最后,单步调试即可 记住到这里, 这个jmp eax是跳往OEP地址 这个方法感觉也就是借助VirtualFree作为一个踏板,跳到用户代码,剩下的单步调试就轻松多了 新套路(2) bp VirtualFree 在这里输入bp VirtualFree ,紧接着回车,然后执行
PECompact加壳
11-12
PECompact加壳,软件加壳工具,免杀效果很好.
PECompact脱壳工具
04-18
很不容易找到的,最新版的,,可以一试哈,能脱PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能脱的壳,,我都用过了,强烈建议试用
快速脱PECompact_2.x_-_Jeremy_Collake
07-25
快速脱PECompact_2.x_-_Jeremy_Collake教程
PECompact 2.5x汉化版
08-11
PECompact 2.5x - 2.79(beta) 脱壳机汉化版
语音脱PECompact 2.x - Jeremy Collake的壳
07-29
语音脱PECompact 2.x - Jeremy C语音脱PECompact 2.x - Jeremy Collake的壳ollake的壳
全能脱壳
10-23
anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect...
半仙算命主程序脱壳全记录(图文)
05-02
在本文中,我们将深入探讨如何对使用"PECompact 2.x - Jeremy Collake"壳的半仙算命主程序进行脱壳的过程。这涉及到逆向工程的技术,特别是使用OllyDBG这样的动态调试工具来理解程序的执行流程。首先,我们需要知道...
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
12-31
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
PECompact 2 零售版 2.98.2
01-21
好用,稳定,老牌的可执行文件压缩工具。这是全功能的零售版。
手动脱PeCompact 2.20壳实战-
07-15
手动脱PeCompact 2.20壳实战的分析文档和脱壳后完美运行的程序,这个练习的程序也是吾爱破解论坛培训第一课的选修作业四
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
PECompact3.0.2.2壳内API序列及指令序列
最新发布
摔不死的笨鸟的博客
06-28 188
基于Pin实现指令集采集和API序列采集,对壳的原理进行研究。
传奇解决登陆器报毒360秒过百度杀毒 金山 卡吧 远控免杀技术
热门推荐
12-05 1万+
传奇解决登陆器报毒360秒过百度杀毒 金山 卡吧 远控免杀技术 联系QQ:382913699 电话:18316718418 淘宝店:http://981gzs.taobao.com
逆向脱壳实训 #3 多途径脱PECompact
weixin_48066554的博客
01-18 497
逆向脱壳实训 #3 多途径脱PECompact 文章目录逆向脱壳实训 #3 多途径脱PECompact环境 & 工具查壳脱壳方法1、单步手脱2、ESP定律3、BP VirtualFree4、BP VirtualAlloc5、最后一次异常法 使用多种方法进行 环境 & 工具 win xp系统 吾爱破解版ollydbg PEiD 查壳 脱壳方法 1、单步手脱 单步运行至此call时,如果f8,程序会直接开始运行,所以运行至此处时单击f7跟进 继续单步,至此call同样会开始运行,继续f7
PECompact 2.68 (Retail)
Linhanshi Blog
12-09 854
PECompact 2.68 (Retail)http://rapidshare.de/files/8803544/setup.rar.htmlPassword: www.exetools.com
珊瑚虫QQ外挂3.06脱壳
~CharmSky~
04-20 1323
1.CoralQQ.exe用peid查,显示是PECompact 2.x -> Jeremy Collake的壳用OD载入后停在00401000     B8 D4A14300         mov eax,CoralQQ.0043A1D4       F8单步运行00401005     50                  push eax00401006     64:FF35 0000
减小VS2017编译exe文件的大小
05-24
4. 压缩可执行文件:使用一些工具可以对可执行文件进行压缩,例如UPX、PECompact等,可以将文件大小减小50%左右。 5. 移除不必要的资源:如果应用程序中包含了不必要的资源文件,例如图片、音频、视频等,可以将其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值