UnPackMe 一例

sentaly 发表于 2010-8-12 13:05

本帖最后由 xiaobang 于 2011-4-4 08:09 编辑

一个小程序，C写的。没什么意思。VS2008编译。
#include "stdafx.h"

int _tmain(int argc, _TCHAR* argv[])
{
if (argc)
{
printf("Hello world!\r\n");
}
else
{
printf("Hello everybody!\r\n");
}
return 0;
}
我自己加了一个壳，查不到壳。不过壳的主程序叫FishePE

哪位能脱，最好有过程。

360和卡吧都报。不过绝对不是病毒。

Zanker 发表于 2010-8-12 13:11

....
没见过。。
不下了..

yaojiqiang 发表于 2010-8-12 13:31

wanwanle 发表于 2010-8-12 18:36

嗯也是的哈、、、、、、

elyt 发表于 2010-8-12 18:41

没什么说的，od, 直接 esp定律，然后Import REC，修复...

小糊涂虫 发表于 2010-8-12 18:51

我这儿无法运行。。。。。。。

elyt 发表于 2010-8-12 18:54

那个什么，跨平台的问题吧，不会

ximo 发表于 2010-8-12 20:14

这个压缩壳还是不错的，建议想学手动脱壳的朋友，好好练习一下，并且分析下壳的流程。

tonyup 发表于 2010-8-16 10:20

没什么说的，od, 直接 esp定律，然后Import REC，修复...
elyt 发表于 2010-8-12 18:41 http://bbs.52pojie.cn/images/common/back.gif

脱了半天没脱掉壳（我新手），拿您脱壳后程序一看才知道……不过这个OEP也太匪夷所思了吧。。从来没见过是CALL开头的

004012D6 59          pop ecx
004012D7 33C0          xor eax,eax
004012D9 C3          retn
004012DA E8 79040000 call ke.00401758                      ; 程序OEP? 何以判断？
004012DF^ E9 9FFDFFFF jmp ke.00401083
004012E4 8BFF          mov edi,edi
004012E6 55          push ebp
004012E7 8BEC          mov ebp,esp
004012E9 81EC 28030000 sub esp,0x328
004012EF A3 40314000 mov dword ptr ds:,eax
004012F4 890D 3C314000 mov dword ptr ds:,ecx
004012FA 8915 38314000 mov dword ptr ds:,edx
00401300 891D 34314000 mov dword ptr ds:,ebx
00401306 8935 30314000 mov dword ptr ds:,esi
0040130C 893D 2C314000 mov dword ptr ds:,edi
00401312 66:8C15 5831400>mov word ptr ds:,ss
00401319 66:8C0D 4C31400>mov word ptr ds:,cs
00401320 66:8C1D 2831400>mov word ptr ds:,ds
00401327 66:8C05 2431400>mov word ptr ds:,es
0040132E 66:8C25 2031400>mov word ptr ds:,fs
00401335 66:8C2D 1C31400>mov word ptr ds:,gs
0040133C 9C          pushfd

我当时也是ESP定律到了这里，然后直接进CALL去dump了，发现无法运行，请问这里的OEP是怎么判断出来的呢？

sentaly 发表于 2010-8-20 09:04

004012DF ^ E9 9FFDFFFF jmp ke.00401083

跳上去才是OEP

页: [1] 2

吾爱破解 - 52pojie.cn's Archiver

UnPackMe 一例