网站 › 『脱壳破解区』 › 手脱 PECompact 2.x -> Jeremy Collake

mycsy 发表于 2010-6-18 14:29

手脱 PECompact 2.x -> Jeremy Collake

PECompact v2.x
PECompact 2.x -> Jeremy Collake
PeCompact v2.08 -> Bitsum Technologies(signature by loveboom) *
试炼程序 GIFMovieGear
<功能介绍: GIF Movie Gear 是一款实用的 GIF 文件制作、编辑、优化、转换软件。您可以用它打开 BMP/GIF/JPG/PNG/PSD/AVI/CUR/ICO 等格式并将它们转换或混合为 GIF 格式，并保存为 BMP/GIF/JPG/PNG/PSD/AVI/CUR/ICO 甚至 SWF 格式。您还可以用它剪切、缩放、旋转导入的图像文件，调整帧的顺序和延迟时间，更改循环次数，并用多种方法对其进行优化，以减小文件体积。此外，GIF Movie Gear 还能调用任意应用程序对帧进行实时编辑，为 GIF 文件添加注释以及输出 HTML 代码方便您在网页中调用图像。>
注册码
用户名：陳渁滺
注册码：mg37xaj2818
PEID 载入程序GIFMovieGear
PESniffer获取PECompact v2.xx
PEIDScan PECompact 2.x -> Jeremy Collake
OD载入：提示代码被压缩加密包含嵌入数据是否继续分析，单击否！

00401000 > B8 841C5000   mov eax,movgear.00501C84               ; (Initial CPU selection) //OD载入停在这里00401000 >
//**摸索进行，F8单步下去**//
00401005    50            push eax
00401006    64:FF35 0000000>push dword ptr fs:                //走到这里仔细看下ESP 0012FFC0 这里使用ESP定律
0040100D    64:8925 0000000>mov dword ptr fs:,esp
00401014    33C0            xor eax,eax
00401016    8908            mov dword ptr ds:,ecx
00401018    50            push eax
00401019    45            inc ebp
0040101A    43            inc ebx
0040101B    6F            outs dx,dword ptr es:
0040101C    6D            ins dword ptr es:,dx
0040101D    70 61         jo short movgear.00401080
0040101F    637432 00       arpl word ptr ds:,si
00401023    4B            dec ebx
00401024    E8 A1B2134E   call 4E53C2CA

F9运行后到达

7C94A5E0    3B45 F8         cmp eax,dword ptr ss: //F9后停在这里 继续F8单步走
7C94A5E3    72 09         jb short ntdll.7C94A5EE
7C94A5E5    3B45 F4         cmp eax,dword ptr ss:
7C94A5E8    0F82 69030000   jb ntdll.7C94A957
7C94A5EE    50            push eax
7C94A5EF    E8 67000000   call ntdll.7C94A65B
7C94A5F4    84C0            test al,al
7C94A5F6    0F84 5B030000   je ntdll.7C94A957
7C94A5FC    F605 FAE3997C 8>test byte ptr ds:,80
7C94A603    0F85 025B0200   jnz ntdll.7C97010B
7C94A609    FF73 04         push dword ptr ds:
7C94A60C    8D45 EC         lea eax,dword ptr ss:
7C94A60F    50            push eax
7C94A610    FF75 0C         push dword ptr ss:
7C94A613    53            push ebx
7C94A614    56            push esi
7C94A615    E8 2D8CFDFF   call ntdll.7C923247

省略…………………………
一路走下去

00501D46 - FFE0            jmp eax                                  ; movgear.00471681   //这里飞向光明之巅


00471681    6A 60         push 60            //传说中的OEP 再次！
00471683    68 00614800   push movgear.00486100
00471688    E8 5B110000   call movgear.004727E8
0047168D    BF 94000000   mov edi,94
00471692    8BC7            mov eax,edi

找到了OEP 脱壳成功！

chao231 发表于 2010-6-18 14:37

沙发

illustrator 发表于 2010-6-18 14:47

学习了，谢谢~~

wfassg 发表于 2010-6-18 14:55

学习了啊啊！

npc22pk 发表于 2010-6-18 16:13

速度围观来学习学习··

birdcfly 发表于 2010-6-18 17:47

祝贺你，成功了

a3012352 发表于 2010-6-18 19:03

学习下 把试炼程序发出来 我们才有机会实践啊

kghong 发表于 2010-6-18 19:11

来学习学习:loveliness:

mycsy 发表于 2010-6-19 00:34

本帖最后由 mycsy 于 2010-6-19 00:35 编辑

有道理！ 我去找下 试炼程序！

sky827 发表于 2010-6-19 00:57

上面的脱好的？

查看完整版本: 手脱 PECompact 2.x -> Jeremy Collake