八种方法脱PECompact壳

最新推荐文章于 2022-01-18 11:16:21 发布
最新推荐文章于 2022-01-18 11:16:21 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 逆向 文章标签: 逆向 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lorezon/article/details/107042755
版权
本文总结了从52pojie社区学习的八种脱PECompact壳的方法,包括单步跟踪、ESP定律法、VirtualFree断点、VirtualAlloc断点、异常法等,详细介绍了每种方法的操作步骤,帮助读者理解和实践。
摘要由CSDN通过智能技术生成

注:文中涉及到的方法、例子等均来源于52pojie社区,学习过程中总结方便以后阅读

方法一:单步跟踪

F8跟进,遇到跑飞的Call就F7进入

遇到sysenter也会跑飞,同样F7进入,之后单步跟,即可找到OEP

在这里插入图片描述

方法二:ESP定律法

单步跟进,发现右侧ESP突变,数据窗口跟随,然后硬件访问>word

运行,之后删除硬件访问,之后单步跟进

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

方法三:下BP VirtualFree断点(一次运行)

在这里插入图片描述

下断点后Shift+F9运行,来到这里

在这里插入图片描述

之后F2取消断点,然后Alt+F9执行到用户代码
在这里插入图片描述

然后搜索push 8000

最低0.47元/天 解锁文章
Sure_lis
关注
专栏目录
PECompact脱壳工具
04-18
很不容易找到的,最新版的,,可以一试哈,能PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能,,我都用过了,强烈建议试用
PEcompact 3.X 脱壳
weixin_34176694的博客
10-21 286
本文思路主要来自于 这篇帖子(https://www.52pojie.cn/thread-682776-1-1.html) 这次拿exescope当作例子。 用x64dbg进行调试,来到401000 F8两次到401000D 此时给esp所指的内存下硬件访问断点 然后一路F9直到来到这 不远处会出现 F2下断点 F9到达OEP 此时就可以用scylla dump ...
脱壳第二讲,手动脱壳PECompact 2.x
weixin_30664051的博客
10-26 339
              脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有,先查. 发现是这个 利用Esp定律,掉这个. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析...
珊瑚虫QQ外挂3.06脱壳
~CharmSky~
04-20 1342
1.CoralQQ.exe用peid查,显示是PECompact 2.x -> Jeremy Collake的用OD载入后停在00401000     B8 D4A14300         mov eax,CoralQQ.0043A1D4       F8单步运行00401005     50                  push eax00401006     64:FF35 0000
脱壳-PeCompact(2.20)
谢绝(无视)留言与私信
02-13 965
前言脱壳练习, PeCompact是压缩PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
手动PeCompact 2.20实战-
07-15
手动PeCompact 2.20实战的分析文档和脱壳后完美运行的程序,这个练习的程序也是吾爱破解论坛培训第一课的选修作业四
语音PECompact 2.x - Jeremy Collake的
07-29
语音PECompact 2.x - Jeremy C语音PECompact 2.x - Jeremy Collake的ollake的
专门 PECompact 脱壳工具
01-05
UnPECompact 1.32 专门 PECompact 脱壳工具。支持 PECompact 1.69 版本的
一次PECompact 2.x - Jeremy Collake的记录.doc
12-31
标题与描述均指向了一个具体的技术实践过程——PECompact 2.x的记录,由Jeremy Collake撰写或涉及。这是一篇关于逆向工程领域的文章,聚焦于如何去除PECompact 2.x加的保护,以便对软件进行深入分析或修复。...
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩,压缩可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下了 004010EC > 68 CC624000 push srtmaker.004062CC ; VB5!6&vb6chs;.dll 004010F1 E8 EEFFFFFF call srtmaker.004010E4 ; jmp 到 msvbvm60.ThunRTMain 004010F6 0000 add byte ptr ds:[eax],al 004010F8 0000 add byte ptr ds:[eax],al 004010FA 0000 add byte ptr ds:[eax],al 004010FC 3000 xor byte ptr ds:[eax],al 004010FE 0000 add byte ptr ds:[eax],al 00401100 40 inc eax ; srtmaker. 这就是OEP,程序入口 然后打开LordPE 完整转存 然后打开IMPortREC 到此已经好了,请各位爽吧
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
脫殼工具PECompact 2[1].x-3.x 免安裝版
07-06
脫殼工具PECompact 2[1].x-3.x 免安裝版
PECompact 2.5脱壳
吖吖狼 的专栏
01-03 1268
文章来源于黑鹰教程 PECompact 2.5 Retail -> Jeremy Collake 设置Ollydbg忽略所有的异常选项。 od载入 01001000 N>  B8 90BA0101     mov eax,NOTEPAD.0101BA90 01001005     50              push eax
脱壳-PECompact v1.66
谢绝(无视)留言与私信
02-01 1000
前言在练习脱壳. 这个特点: * 在OEP处少代码, 需要自己在OEP处补齐. 少的代码在OEP之前都能看到. * 在OEP处脱壳后, ImpRec找不到IAT. 需要自己搜索指令来找到IAT项.记录查Detect It Easy => Borland Delphi(-)[-] PEID => 什么都没找到 * RDG => PECompact v1.66查找OEP用ES
手动PeCompact 2.20实战
weixin_30687811的博客
07-18 154
作者:Fly2015 PeCompact又是一个没有听说过的。须要脱壳的程序是吾爱破解培训的第一课的选修作业四。近期对脱壳有点上瘾了,当然也遭受了脱壳受挫的无奈。可是比較幸运还是把这个给搞了。 对加程序进行查。 工具DIE显示程序加的是PeCompact,而且原来没加的程序使用MicrosoftVisualC/C++(2008)编写的,这一点对于...
逆向脱壳实训 #3 多途径PECompact
weixin_48066554的博客
01-18 513
逆向脱壳实训 #3 多途径PECompact 文章目录逆向脱壳实训 #3 多途径PECompact环境 & 工具查脱壳方法1、单步手2、ESP定律3、BP VirtualFree4、BP VirtualAlloc5、最后一次异常法 使用多种方法进行 环境 & 工具 win xp系统 吾爱破解版ollydbg PEiD 查 脱壳方法 1、单步手 单步运行至此call时,如果f8,程序会直接开始运行,所以运行至此处时单击f7跟进 继续单步,至此call同样会开始运行,继续f7
简单脱壳教程笔记(7)---手PECompact2.X
oBuYiSeng的博客
04-10 6280
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG是一款压缩。 工具:ExeinfoPEPEid、OD、LordPE、ImportREConstructor 脱壳文件:05.手PECompact2.X.ra
PECompact2.x脱壳教程:半仙算命程序实战
文章中提到的是'PECompact 2.x - Jeremy Collake',这是一种相对复杂的,需要通过手动单步跟踪和理解源码来解决。作者在学习过程中遇到了因‘异常’设置问题导致的跟踪困难,但最终解决了这个问题。" 在计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值