网站 › 『UnPackMe◇CrackMe◇KeyGenMe◇ReverseMe』 › UnpackMe---PeCompact 2.98.4

小生我怕怕 发表于 2009-1-30 01:35

UnpackMe---PeCompact 2.98.4

PeCompact 2.98.4 适合新手练习脱壳!

[ 本帖最后由 小生我怕怕 于 2009-1-30 01:59 编辑 ]

samisgod 发表于 2009-1-30 09:55

IAT Sig 貌似最后一点变了

FF 75 10 FF 75 0C FF 75 08 FF 93 ?? ?? ?? 00
即可

gry8686 发表于 2009-1-30 10:17

学习一下   支持楼主

iawen 发表于 2009-1-30 12:03

我还是不会找特征码，只好照老方法一步步来，
00460ACC00A8025A
00460AD000A80261
00460AD400A80268
00460AD800A8026F
00460ADC00A80276
00460AE000A8027D
在加密的IAT上加硬件断点，重新载入，找到
00A11634      50            push eax
00A11635      FF75 FC         push dword ptr ss:            ; 出现函数名
00A11638      FF93 0A210010   call dword ptr ds:
00A1163E      5A            pop edx
00A1163F      50            push eax
00A11640      8B02            mov eax,dword ptr ds:
00A11642      A9 00000080   test eax,80000000
00A11647      75 18         jnz short 00A11661
然后跟进CALL：call dword ptr ds:
00A102C2      55            push ebp
00A102C3      8BEC            mov ebp,esp
00A102C5      83C4 FC         add esp,-4
00A102C8      53            push ebx
00A102C9      57            push edi
00A102CA      56            push esi
00A102CB      E8 00000000   call 00A102D0
00A102D0      5B            pop ebx
00A102D1      81EB FE103C00   sub ebx,3C10FE
00A102D7      FF75 10         push dword ptr ss:
00A102DA      FF75 0C         push dword ptr ss:
00A102DD      FF75 08         push dword ptr ss:
00A102E0      FF93 2F103C00   call dword ptr ds:
00A102E6      8945 FC         mov dword ptr ss:,eax
00A102E9      8B8B 61103C00   mov ecx,dword ptr ds:
00A102EF      3B4D 08         cmp ecx,dword ptr ss:
00A102F2      EB 63         jmp short 00A10357
//关键就是这里了，直接改JMP就OK了，呵呵（上面的，是我修改过的）
//改完，跑到OEP，就得到了完整的IAT了

00A102F4      33C0            xor eax,eax
00A102F6      0383 43103C00   add eax,dword ptr ds:
00A102FC      74 0D         je short 00A1030B
00A102FE      05 07000000   add eax,7
00A10303      3B83 47103C00   cmp eax,dword ptr ds:
00A10309      72 25         jb short 00A10330
00A1030B      6A 40         push 40
00A1030D      68 00100000   push 1000
00A10312      68 00100000   push 1000
00A10317      6A 00         push 0
00A10319      FF93 3F103C00   call dword ptr ds:
00A1031F      8983 43103C00   mov dword ptr ds:,eax
00A10325      05 00100000   add eax,1000
00A1032A      8983 47103C00   mov dword ptr ds:,eax
00A10330      8DBB E9103C00   lea edi,dword ptr ds:
00A10336      8BF7            mov esi,edi
00A10338      81C7 01000000   add edi,1
00A1033E      8B45 FC         mov eax,dword ptr ss:
00A10341      AB            stos dword ptr es:
00A10342      8BBB 43103C00   mov edi,dword ptr ds:
00A10348      8BC7            mov eax,edi
00A1034A      B9 07000000   mov ecx,7
00A1034F      018B 43103C00   add dword ptr ds:,ecx
00A10355      F3:A4         rep movs byte ptr es:,byte ptr ds>
00A10357      5E            pop esi
00A10358      5F            pop edi
00A10359      5B            pop ebx
00A1035A      C9            leave
00A1035B      C2 0C00         retn 0C


[ 本帖最后由 chenguo 于 2009-1-30 12:04 编辑 ]

小糊涂虫 发表于 2009-1-30 12:18

bp VirtualAlloc
F9运行。
0013FF94   00473BA1/CALL 到 VirtualAlloc 来自 UnPackMe.00473B9F
0013FF98   00000000|Address = NULL
0013FF9C   00001CB8|Size = 1CB8 (7352.)
0013FFA0   00001000|AllocationType = MEM_COMMIT
0013FFA4   00000040\Protect = PAGE_EXECUTE_READWRITE
0013FFA8   00400000UnPackMe.00400000
ALT+F9返回，取消断点。。。
直接F8到
00473C09    5D                pop ebp
00473C0A    FFE0            jmp eax      ？？？？？？？？？
00473C0C    B0 71             mov al,71
脱壳后，用插件修复，OK。。。
不会手动处理。。。。。

xie83544109 发表于 2009-2-16 13:38

看看自己能不能搞定这个壳

myshell 发表于 2009-3-15 23:23

have a try.

查看完整版本: UnpackMe---PeCompact 2.98.4