手脱PECompact v2.xx

最新推荐文章于 2017-11-27 11:26:41 发布
最新推荐文章于 2017-11-27 11:26:41 发布
阅读量174 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/JianXu/p/5158385.html
版权

个人认为这个壳对于新手有那么一点点难度,所以用单步和ESP都跑一下,我觉得单步是最最基础的,所以一定要掌握

一、单步
1.PEID查壳

PECompact v2.xx (16 ms)

2.载入OD,除了以下标注的几个位置外,其他的都使用F8

0040A86D >  B8 74DE4500     mov eax,qqspirit.0045DE74         ; //入口点
0040A872    50              push eax                          
0040A873    64:FF35 0000000>push dword ptr fs:[0]
0040A87A    64:8925 0000000>mov dword ptr fs:[0],esp
0040A881    33C0            xor eax,eax                       
0040A883    8908            mov dword ptr ds:[eax],ecx
0040A885    50              push eax

 

位置1:

778D711D    6A 00           push 0x0
778D711F    51              push ecx
778D7120    E8 2BE5FFFF     call ntdll.ZwContinue             ; //程序会跑飞F7跟进
778D7125    EB 0B           jmp short ntdll.778D7132
778D7127    5B              pop ebx                          
778D7128    59              pop ecx                           
778D7129    6A 00           push 0x0

 

 

位置2:

778D5650 >  B8 3C000000     mov eax,0x3C                      ; //F7落脚点
778D5655    BA 0003FE7F     mov edx,0x7FFE0300
778D565A    FF12            call dword ptr ds:[edx]           ; //程序会跑飞F7跟进
778D565C    C2 0800         retn 0x8
778D565F    90              nop
778D5660 >  B8 3D000000     mov eax,0x3D

778D71B0 >  8BD4            mov edx,esp                       ; //第二个F7落脚点
778D71B2    0F34            sysenter
778D71B4 >  C3              retn
778D71B5    8DA424 00000000 lea esp,dword ptr ss:[esp]
778D71BC    8D6424 00       lea esp,dword ptr ss:[esp]
778D71C0 >  8D5424 08       lea edx,dword ptr ss:[esp+0x8]

 


3.找到了指向OEP的跳转

0045DF34    5B              pop ebx                           
0045DF35    5D              pop ebp                           
0045DF36  - FFE0            jmp eax                           ; //指向OEP的跳转
0045DF38    6D              ins dword ptr es:[edi],dx
0045DF39    A8 40           test al,0x40
0045DF3B    0000            add byte ptr ds:[eax],al

 

 

4.来到OEP,脱壳吧

0040A86D >  55              push ebp                          ; //来到OEP
0040A86E    8BEC            mov ebp,esp
0040A870    6A FF           push -0x1
0040A872    68 78794200     push qqspirit.00427978
0040A877    68 F4E14000     push qqspirit.0040E1F4
0040A87C    64:A1 00000000  mov eax,dword ptr fs:[0]
0040A882    50              push eax                          
0040A883    64:8925 0000000>mov dword ptr fs:[0],esp

 

 

5.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0

二、ESP定律

1.载入OD,看到两个push入栈,下一行ESP定律下硬件访问断点然后shift+F9运行一次

0040A86D >  B8 74DE4500     mov eax,qqspirit.0045DE74         ; //入口点
0040A872    50              push eax                          
0040A873    64:FF35 0000000>push dword ptr fs:[0]
0040A87A    64:8925 0000000>mov dword ptr fs:[0],esp          ; //ESP定律一次
0040A881    33C0            xor eax,eax                       
0040A883    8908            mov dword ptr ds:[eax],ecx

 

 

2.来到ESP的落脚点,单步F8跟下去就能到OEP了

0045DEA3    83C4 04         add esp,0x4                       ; //ESP落脚点
0045DEA6    55              push ebp
0045DEA7    53              push ebx
0045DEA8    51              push ecx
0045DEA9    57              push edi

 

 

3.来到关键跳,这就是指向OEP的跳转

0045DF34    5B              pop ebx                           
0045DF35    5D              pop ebp                           
0045DF36  - FFE0            jmp eax                           ; //指向OEP的跳转
0045DF38    6D              ins dword ptr es:[edi],dx
0045DF39    A8 40           test al,0x40

 

 

4.来到OEP,脱壳、运行、查壳

0040A86D >  55              push ebp                          ; //OEP
0040A86E    8BEC            mov ebp,esp
0040A870    6A FF           push -0x1
0040A872    68 78794200     push qqspirit.00427978
0040A877    68 F4E14000     push qqspirit.0040E1F4
0040A87C    64:A1 00000000  mov eax,dword ptr fs:[0]
0040A882    50              push eax                          
0040A883    64:8925 0000000>mov dword ptr fs:[0],esp
0040A88A    83EC 58         sub esp,0x58

 

 

转载于:https://www.cnblogs.com/JianXu/p/5158385.html

weixin_30838873
关注
脫殼工具PECompact 2[1].x-3.x 免安裝版
07-06
脫殼工具PECompact 2[1].x-3.x 免安裝版
脱壳第二讲,手动脱壳PECompact 2.x
weixin_30664051的博客
10-26 347
              脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳,先查壳. 发现是这个壳 利用Esp定律,脱掉这个壳. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析...
手动脱壳之PECompact
rayjoker1_one的博客
11-27 670
这个星期开始学脱壳,就从简单的压缩壳开始吧。
用Ollydbg手脱PECompact加壳的DLL
~CharmSky~
04-20 2136
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!         【调试环境】:WinXP、Ollydbg1.10C、WinHex、PEiD、LordPEPEditor、ImportREC         ————————————————————————————————— 【脱壳过程】:                                      很多兄弟都不喜欢
壳学习一:PECompact 2.x 加壳脱壳
禾苗雨的专栏
02-06 3133
壳学习一:PECompact 2.x 加壳脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-51、加壳过程自动动手编写一个简单的窗体程序NullForm.exe。使用PECompact2.7加壳(按默认选项),生成已加壳程序NullFormPe.exe.原始文件与加
pecompact 2.x-3.x 最新脱壳机
11-28
标题 "pecompact 2.x-3.x 最新脱壳机" 指向的是一个专门针对 PECompact 2.x 至 3.x 版本压缩壳的脱壳工具。PECompact 是一种流行的可执行文件压缩和保护技术,它用于减小程序体积并提供一定程度的反调试和反逆向工程...
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
12-31
标题与描述均指向了一个具体的技术实践过程——脱PECompact 2.x壳的记录,由Jeremy Collake撰写或涉及。这是一篇关于逆向工程领域的文章,聚焦于如何去除PECompact 2.x加壳的保护,以便对软件进行深入分析或修复。...
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下...
语音脱PECompact 2.x - Jeremy Collake的壳
07-29
语音脱PECompact 2.x - Jeremy C语音脱PECompact 2.x - Jeremy Collake的壳ollake的壳
快速脱PECompact_2.x_-_Jeremy_Collake
07-25
【标题】"快速脱PECompact_2.x_-_Jeremy_Collake"所指的是一份关于如何从PECompact 2.x保护壳中提取原始可执行文件的教程,由Jeremy Collake编写。PECompact是一款广泛使用的软件保护工具,它可以将程序压缩到更小的...
VMP脱壳脚本(VMProtect)
09-04
VMP脱壳脚本,VMProtect脱壳,VMP脱壳, 脚本支持1.7--2.0版本, 对1.7以下版本稍微修改即可。
PECompact v2.80 Beta 1
Linhanshi Blog
12-29 798
 Changelog:- GUI.Change: Updated german translation thanks to u!^UBYTrial: http://www.bitsum.com/files/beta/pec2setup.zipStudent/Freeware: http://www.bitsum.com/files/beta/pec2student.zip
PECompact v2.79 loader分析
10-08 1208
1.WHY?   PECompact是一款压缩壳,要脱很容易,但我的感觉是脱完了,啥感觉都没有,到达OEP之间,沿途的风景都看不到。勿在浮砂筑高台。于是用IDA详细分析了一下loader。最好自己打开idb文件取看看,教材不可能那么详细。   分析到这个样子之后,后来我发现居然有PECompact的loader sdk,于是没兴趣分析下去了。原本还打算做个静态脱壳机的,有时间了也许再对照loade
【转】脱壳工具
学习........
06-10 4162
脱壳工具http://www.pediy.com/tools/unpacker.htm 文件类型侦测工具 peid 0.94
火拼--利刃对金钟罩_OMT2006系统带壳分析(上)
mélochite's
05-13 1359
 前两天,鬼子发了个东西过来,不明白鬼子老是对这些彩票啊,六合彩啊的东西特感兴趣。话说他是个公务员,不禁令我寒一个。。这次这个是TOM报单系统,但看到里面好像有六合彩之类的东西。可能是我多心了。二话不说,带刀上阵。。。。调试过三次,发现只有OD才是王道这次用的是OllyICE,是第二次的汉化作品============================================
简单脱壳教程笔记(7)---手脱PECompact2.X壳
oBuYiSeng的博客
04-10 6297
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG壳是一款压缩壳。 工具:ExeinfoPEPEid、OD、LordPE、ImportREConstructor 脱壳文件:05.手脱PECompact2.X壳.ra
PECompact v.2.79 beta B
Linhanshi Blog
07-15 736
by:Celta68 Some minor changes and bug fixes.http://rapidshare.de/files/25842621/pec2_betaB.rar.htmlPassword: Celta68 
PECompact v2.84
Linhanshi Blog
06-09 683
2008-06-08Changelog引用:WARNING: Old project files and saved registry settings are incompatible with this build.WARNING: Non-english languages need updating and may not currently show new option
PECompact2.x壳脱壳教程:半仙算命程序实战
文章中提到的壳是'PECompact 2.x - Jeremy Collake',这是一种相对复杂的壳,需要通过手动单步跟踪和理解源码来解决。作者在学习过程中遇到了因‘异常’设置问题导致的跟踪困难,但最终解决了这个问题。" 在计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值