简单脱壳教程笔记(7)---手脱PECompact2.X壳

最新推荐文章于 2020-06-30 15:18:21 发布
最新推荐文章于 2020-06-30 15:18:21 发布
阅读量6.2k 收藏 1
点赞数
分类专栏: 壳相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50988504
版权
这篇教程详细介绍了如何手动脱去PECompact2.X壳。通过使用ExeinfoPE、OD、LordPE等工具,结合单步调试、ESP定律、在VirtualFree处设置断点等方法,逐步揭示壳的内部机制。最后,通过在GetVersion处设断点,成功找到OEP。
摘要由CSDN通过智能技术生成
          本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。 本笔记用到的工具下载地址:

http://download.csdn.net/detail/obuyiseng/9466056

简介:

FSG壳是一款压缩壳。我们这里使用9种方式来进行脱壳

工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脱壳文件:05.手脱PECompact2.X壳.rar

1 单步

    我们发现有两处call会跑飞,那么我们需要在跑飞处进入,然后在跟即可。

       第一个跑飞的call,我们此时不应该单步而是进入




       第二个跑飞的call,我们此时不应该单步而是进入

    OEP

2 ESP定律

   单步到在此处,并在数据窗口中跟随,下断点,单步跟踪即可,可参考前面的笔记内容。


3 使用BP VirtualFree断点

首先下 bp VirtualFree断点
         
最低0.47元/天 解锁文章
布衣僧
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PECompact脱壳工具
04-18
很不容易找到的,最新版的,,可以一试哈,能脱PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能脱的,,我都用过了,强烈建议试用
PEcompact 3.X 脱壳
weixin_34176694的博客
10-21 272
本文思路主要来自于 这篇帖子(https://www.52pojie.cn/thread-682776-1-1.html) 这次拿exescope当作例子。 用x64dbg进行调试,来到401000 F8两次到401000D 此时给esp所指的内存下硬件访问断点 然后一路F9直到来到这 不远处会出现 F2下断点 F9到达OEP 此时就可以用scylla dump ...
脱壳第二讲,手动脱壳PECompact 2.x
weixin_30664051的博客
10-26 333
              脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有,先查. 发现是这个 利用Esp定律,脱掉这个. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析...
脱一个PECompact2.X的
enolaZ的专栏
10-10 1761
RamSmash 手动脱壳+破解作者:enolaZ软件说明:这个软件是优化内存用的,注册与未注册在功能上没有区别,但未注册版本会每小时弹出一个要求注册的NAG窗口,当选择REGISTER NOW的BUTTON后会打开注册网页(有时好象是一堆。。)破解目的:手动脱壳去掉该NAG窗口声明: 本文纯属学习交流,请不要随意散布或用于商业用途。在下菜鸟一只,欢迎各位高手批评指教 用OD加载,停在入口
PECompact 2.5脱壳
吖吖狼 的专栏
01-03 1262
文章来源于黑鹰教程 PECompact 2.5 Retail -> Jeremy Collake 设置Ollydbg忽略所有的异常选项。 od载入 01001000 N>  B8 90BA0101     mov eax,NOTEPAD.0101BA90 01001005     50              push eax
一次脱PECompact 2.x - Jeremy Collake的记录.doc
12-31
标题与描述均指向了一个具体的技术实践过程——脱PECompact 2.x的记录,由Jeremy Collake撰写或涉及。这是一篇关于逆向工程领域的文章,聚焦于如何去除PECompact 2.x加的保护,以便对软件进行深入分析或修复。...
语音脱PECompact 2.x - Jeremy Collake的
07-29
语音脱PECompact 2.x - Jeremy C语音脱PECompact 2.x - Jeremy Collake的ollake的
pecompact 2.x-3.x 最新脱壳
11-28
标题 "pecompact 2.x-3.x 最新脱壳机" 指向的是一个专门针对 PECompact 2.x 至 3.x 版本压缩脱壳工具。PECompact 是一种流行的可执行文件压缩和保护技术,它用于减小程序体积并提供一定程度的反调试和反逆向工程...
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩,压缩可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下...
专门脱 PECompact 脱壳工具
01-05
UnPECompact 1.32 专门脱 PECompact 脱壳工具。支持 PECompact 1.69 版本的
手动脱PeCompact 2.20实战-
07-15
手动脱PeCompact 2.20实战的分析文档和脱壳后完美运行的程序,这个练习的程序也是吾爱破解论坛培训第一课的选修作业四
快速脱PECompact_2.x_-_Jeremy_Collake
07-25
快速脱PECompact_2.x_-_Jeremy_Collake教程
用于对C#,.net开发的程序进行脱壳
11-02
用于对程序进行脱壳,学习使用,切莫用于商业,望对你有所帮助。
ExEinfo PE V0.0.2.5(09.09.19)脱壳去自校验
09-25
非常好用的PE工具 原版运行时会占用100多MB的内存而且启动缓慢 脱壳以后还要修复自校验麻烦死了。 本人比较菜弄了好几个小时才搞定。卖贵点 如果有问题请通知我 谢谢。。
脱壳-PECompact v1.66
谢绝留言与私信
02-01 991
前言在练习脱壳. 这个特点: * 在OEP处少代码, 需要自己在OEP处补齐. 少的代码在OEP之前都能看到. * 在OEP处脱壳后, ImpRec找不到IAT. 需要自己搜索指令来找到IAT项.记录查Detect It Easy => Borland Delphi(-)[-] PEID => 什么都没找到 * RDG => PECompact v1.66查找OEP用ES
脱壳-PeCompact(2.20)
谢绝留言与私信
02-13 956
前言脱壳练习, PeCompact是压缩PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
八种方法脱PECompact
Lorezon的博客
06-30 1389
注:文中涉及到的方法、例子等均来源于52pojie社区,学习过程中总结方便以后阅读 方法一:单步跟踪 F8跟进,遇到跑飞的Call就F7进入 遇到sysenter也会跑飞,同样F7进入,之后单步跟,即可找到OEP 方法二:ESP定律法 单步跟进,发现右侧ESP突变,数据窗口跟随,然后硬件访问>word 运行,之后删除硬件访问,之后单步跟进 方法三:下BP VirtualFree断点(一次运行) 下断点后Shift+F9运行,来到这里 之后F2取消断点,然后Alt+F9执行到用户代码 然后搜索
PECompact2.x脱壳教程:半仙算命程序实战
文章中提到的是'PECompact 2.x - Jeremy Collake',这是一种相对复杂的,需要通过手动单步跟踪和理解源码来解决。作者在学习过程中遇到了因‘异常’设置问题导致的跟踪困难,但最终解决了这个问题。" 在计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值