002 PECompact 1.84

最新推荐文章于 2023-06-28 10:07:08 发布
最新推荐文章于 2023-06-28 10:07:08 发布
阅读量520 收藏
点赞数
分类专栏: 加壳脱壳 文章标签: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38474570/article/details/88377271
版权

文章目录

查壳

在这里插入图片描述

今天来脱一下PECompact 1.84这个壳,脱这个壳的目的是为了了解一个技巧——当遇到无法向下跟随的时候,可以找到附近没有实现的大跳转,下断点继续跟踪。

单步跟踪到OEP

接下来OD载入这个程序,采用单步跟踪的方法脱掉这个压缩壳。

在这里插入图片描述

在这里插入图片描述

当程序执行到这个位置的时候,这里有一个jmp是往上跳的,按照常规的单步跟踪脱壳的方法,我们应该直接在下一条命令处F4,让他执行到下一条命令。但是当你在下一条命令直接F4的时候,程序会直接跑飞。

这个时候就要用到刚才的技巧了,在附近寻找一个没有实现的大跳转,一般是在上面。一直往上拉,

在这里插入图片描述

在程序上面我们看到一个je,后面的OpCode的offset代表这是一个大跳转,而且是没有实现的。

在这里插入图片描述

那么我们就可以直接跟进去,下断点,让程序断下,然后继续单步跟踪。

在这里插入图片描述

这里也是一个大跳转,按照刚才的方法,回车跟进去下断点,F9跑起来,就到了这里。继续往下跟

在这里插入图片描述
跟到这里的时候,同样,回车跟进去下断点F9

在这里插入图片描述

这里还是一样的套路,继续跟

在这里插入图片描述

在这里插入图片描述

当跟到这里的时候,可以知道马上就到了OEP了,和大部分壳的套路一样,会push一个地址,然后返回回去。

在这里插入图片描述

接着就来到了熟悉的OEP。

修复导入表

在这里插入图片描述

然后在OD里dump文件,然后修复导入表,输入OEP,自动查找IAT,获取输入表,转储文件。

在这里插入图片描述

脱壳后的程序正常运行,这个壳也就完成了。当然了,这个壳用ESP定律也是可以秒脱的,我这里纯粹是为了练习这个技巧而已。

需要相关文件可以到我的Github下载:https://github.com/TonyChen56/Unpack-Practice

鬼手56
关注
专栏目录
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
PECompact3.0
寻梦&之璐
01-30 312
新套路(1) bp VirtualFree 在这里输入bp VirtualFree ,紧接着回车,然后执行 执行到用户代码 执行后界面变成这样,然后取消此处断点。 紧接着执行到用户代码(Alt+F9)或者如下图操作 最后,单步调试即可 记住到这里, 这个jmp eax是跳往OEP地址 这个方法感觉也就是借助VirtualFree作为一个踏板,跳到用户代码,剩下的单步调试就轻松多了 新套路(2) bp VirtualFree 在这里输入bp VirtualFree ,紧接着回车,然后执行
PECompact v2.70 RC1
Linhanshi Blog
01-13 1319
一个用于压缩Windows 9x/NT/W2k 执行文件(EXE,DLL,SCR,OCX等)的工具,压缩后的文件仍能正常运行。经过PEcompact压缩后的文件能使磁盘空间占用更少,发布费用更低,减少错误,网络下载更快,减少网络堵塞并且使得逆向工程变得更加困难。最新功能包括:#8226;由于对模块在压缩前进行了优化,模块可比现在的一般数据压缩软件压缩得更紧密。#8226;与EX
003 PECompact 2.55
鬼手的博客
03-10 338
文章目录查壳单步跟踪查找OEP修复导入表 查壳 这个目标程序是PECompact 2.55的壳。脱这个壳的时候需要用一些技巧和套路。 单步跟踪查找OEP OD载入, 首先我们需要在VirtualFree下一个API断点,之所以下这个断点是因为壳在解压或者解密代码段的时候都需要申请一块空间来进行解密或解压操作,当VirtualFree完成之后,说明壳的解密或解压操作完成。 然后直接F9运行, ...
pecompact-3.0.2.rar_PECompact
09-14
Just pe compact exe, its is not source: P
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下...
PECompact脱壳工具
04-18
**PECompact脱壳工具详解** 在计算机安全领域,PECompact是一款知名的可执行文件打包和压缩工具,它能够将Windows下的PE(Portable Executable)格式文件进行压缩,从而减小文件体积,提高分发效率。然而,这样的...
PECompact3.0.2.2-trace.out
06-28
PECompact3.0.2.2-trace.out
PECompact 3.11简体中文汉化版.rar
09-02
软件介绍: PECompact是一款EXE可执行文件压缩及加壳工具,它的压缩率非常高,而且压缩后的程序不需要解压就能直接运行。在使用时不需要恢复压缩后的数据,所以压缩后的程序启动速度与压缩前基本没有明显的差异。一些(不是全部)安装/设置/自解压的可执行文件不能被压缩,并保持正常运行。这是由于他们的设计(参考叠加/额外的数据通过一个恒定的物理偏移量)。可以在常规选项中设置压缩选项,允许多重压缩、在压缩之前备份程序,压缩资源可以安全压缩,模拟叠加/额外数据(用于自解压,安装等),执行内存保护及执行代码完整性检查。可以设置选项到最大压缩以及设置选项到最大解压速度。FFCE 具有较好的补偿比率及快速解压缩。LZMA 算法具有更好的补偿比率但解压缩速度较慢。
脱壳-PeCompact(2.20)
谢绝(无视)留言与私信
02-13 962
前言脱壳练习, PeCompact是压缩壳查壳PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
PECompact高质量压缩文件
03-25
高质量压缩文件,YC-DATA……信我,没错
PECompact 2.5脱壳
吖吖狼 的专栏
01-03 1264
文章来源于黑鹰教程 PECompact 2.5 Retail -> Jeremy Collake 设置Ollydbg忽略所有的异常选项。 od载入 01001000 N>  B8 90BA0101     mov eax,NOTEPAD.0101BA90 01001005     50              push eax
如何脱壳PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
Jack_Sparrw
09-20 3946
 我是个初学者,第一次写破文,有错误之处,请大虾们指出,谢谢!从www.cpzj.zj.com 下载完QQsee,解压后发现只有一个主程序qqsee.exe用PEid查了一下:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]试过了很多脱壳工具,包括有名的Procdump,脱不掉.郁闷 T_T(看来还要学学脱壳)。没办法,不能来硬的~~换个方法吧
PECompact3.0.2.2壳内API序列及指令序列
最新发布
摔不死的笨鸟的博客
06-28 206
基于Pin实现指令集采集和API序列采集,对壳的原理进行研究。
壳学习一:PECompact 2.x 加壳脱壳
禾苗雨的专栏
02-06 3095
壳学习一:PECompact 2.x 加壳脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-51、加壳过程自动动手编写一个简单的窗体程序NullForm.exe。使用PECompact2.7加壳(按默认选项),生成已加壳程序NullFormPe.exe.原始文件与加
手动脱PeCompact 2.20壳实战
Fly20141201. 的专栏
07-15 2287
PeCompact壳又是一个没有听说过的壳,需要脱壳的程序是吾爱破解培训的第一课的选修作业四。最近对脱壳有点上瘾了,当然也遭受了脱壳受挫的无奈,但是比较幸运还是把这个壳给搞了。   对加壳程序进行查壳。 工具DIE显示程序加的是PeCompact壳,并且原来没加壳的程序使用Microsoft Visual C/C++(2008)编写的,这一点对于查找原程序的真实OEP非常有帮助。
手脫 -- PECompact 2.x -> Jeremy Collake
创造神话,实现梦想!
08-13 3712
手脫 -- PECompact 2.x -> Jeremy CollakePEID: PECompact 2.x -> Jeremy Collake脱壳工具下载有专用的脱壳工具,这里做为练手。OD载入加了壳的程序.入口点: --- 这里很怪如果你F8走, 走到00401016 就会飞1.先忽略所有异常.2. F8 行两步 , 这里可以用ESP定律00401000 >  B8 DC2B4100   
PECompact v2.79 loader分析
10-08 1197
1.WHY?   PECompact是一款压缩壳,要脱很容易,但我的感觉是脱完了,啥感觉都没有,到达OEP之间,沿途的风景都看不到。勿在浮砂筑高台。于是用IDA详细分析了一下loader。最好自己打开idb文件取看看,教材不可能那么详细。   分析到这个样子之后,后来我发现居然有PECompact的loader sdk,于是没兴趣分析下去了。原本还打算做个静态脱壳机的,有时间了也许再对照loade
简单脱壳教程笔记(7)---手脱PECompact2.X壳
oBuYiSeng的博客
04-10 6272
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG壳是一款压缩壳。 工具:ExeinfoPEPEid、OD、LordPE、ImportREConstructor 脱壳文件:05.手脱PECompact2.X壳.ra
PECompact2.x壳脱壳教程:半仙算命程序实战
文章中提到的壳是'PECompact 2.x - Jeremy Collake',这是一种相对复杂的壳,需要通过手动单步跟踪和理解源码来解决。作者在学习过程中遇到了因‘异常’设置问题导致的跟踪困难,但最终解决了这个问题。" 在计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鬼手56

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值