UnpackMe---PeCompact 2.98.4

小生我怕怕

PeCompact 2.98.4 适合新手练习脱壳!

[ 本帖最后由 小生我怕怕 于 2009-1-30 01:59 编辑 ]

samisgod

IAT Sig 貌似最后一点变了

FF 75 10 FF 75 0C FF 75 08 FF 93 ?? ?? ?? 00
即可

gry8686

学习一下   支持楼主

iawen

我还是不会找特征码，只好照老方法一步步来，

00460ACC  00A8025A
00460AD0  00A80261
00460AD4  00A80268
00460AD8  00A8026F
00460ADC  00A80276
00460AE0  00A8027D

在加密的IAT上加硬件断点，重新载入，找到

00A11634      50              push eax
00A11635      FF75 FC         push dword ptr ss:[ebp-4]              ; 出现函数名
00A11638      FF93 0A210010   call dword ptr ds:[ebx+1000210A]
00A1163E      5A              pop edx
00A1163F      50              push eax
00A11640      8B02            mov eax,dword ptr ds:[edx]
00A11642      A9 00000080     test eax,80000000
00A11647      75 18           jnz short 00A11661

然后跟进CALL：call dword ptr ds:[ebx+1000210A]

00A102C2      55              push ebp
00A102C3      8BEC            mov ebp,esp
00A102C5      83C4 FC         add esp,-4
00A102C8      53              push ebx
00A102C9      57              push edi
00A102CA      56              push esi
00A102CB      E8 00000000     call 00A102D0
00A102D0      5B              pop ebx
00A102D1      81EB FE103C00   sub ebx,3C10FE
00A102D7      FF75 10         push dword ptr ss:[ebp+10]
00A102DA      FF75 0C         push dword ptr ss:[ebp+C]
00A102DD      FF75 08         push dword ptr ss:[ebp+8]
00A102E0      FF93 2F103C00   call dword ptr ds:[ebx+3C102F]
00A102E6      8945 FC         mov dword ptr ss:[ebp-4],eax
00A102E9      8B8B 61103C00   mov ecx,dword ptr ds:[ebx+3C1061]
00A102EF      3B4D 08         cmp ecx,dword ptr ss:[ebp+8]
00A102F2      EB 63           jmp short 00A10357
//关键就是这里了，直接改JMP就OK了，呵呵（上面的，是我修改过的）
//改完，跑到OEP，就得到了完整的IAT了

00A102F4      33C0            xor eax,eax
00A102F6      0383 43103C00   add eax,dword ptr ds:[ebx+3C1043]
00A102FC      74 0D           je short 00A1030B
00A102FE      05 07000000     add eax,7
00A10303      3B83 47103C00   cmp eax,dword ptr ds:[ebx+3C1047]
00A10309      72 25           jb short 00A10330
00A1030B      6A 40           push 40
00A1030D      68 00100000     push 1000
00A10312      68 00100000     push 1000
00A10317      6A 00           push 0
00A10319      FF93 3F103C00   call dword ptr ds:[ebx+3C103F]
00A1031F      8983 43103C00   mov dword ptr ds:[ebx+3C1043],eax
00A10325      05 00100000     add eax,1000
00A1032A      8983 47103C00   mov dword ptr ds:[ebx+3C1047],eax
00A10330      8DBB E9103C00   lea edi,dword ptr ds:[ebx+3C10E9]
00A10336      8BF7            mov esi,edi
00A10338      81C7 01000000   add edi,1
00A1033E      8B45 FC         mov eax,dword ptr ss:[ebp-4]
00A10341      AB              stos dword ptr es:[edi]
00A10342      8BBB 43103C00   mov edi,dword ptr ds:[ebx+3C1043]
00A10348      8BC7            mov eax,edi
00A1034A      B9 07000000     mov ecx,7
00A1034F      018B 43103C00   add dword ptr ds:[ebx+3C1043],ecx
00A10355      F3:A4           rep movs byte ptr es:[edi],byte ptr ds>
00A10357      5E              pop esi
00A10358      5F              pop edi
00A10359      5B              pop ebx
00A1035A      C9              leave
00A1035B      C2 0C00         retn 0C

[ 本帖最后由 chenguo 于 2009-1-30 12:04 编辑 ]

小糊涂虫

bp VirtualAlloc
F9运行。
0013FF94   00473BA1  /CALL 到 VirtualAlloc 来自 UnPackMe.00473B9F
0013FF98   00000000  |Address = NULL
0013FF9C   00001CB8  |Size = 1CB8 (7352.)
0013FFA0   00001000  |AllocationType = MEM_COMMIT
0013FFA4   00000040  \Protect = PAGE_EXECUTE_READWRITE
0013FFA8   00400000  UnPackMe.00400000
ALT+F9返回，取消断点。。。
直接F8到
00473C09    5D                pop ebp
00473C0A    FFE0              jmp eax        ？？？？？？？？？
00473C0C    B0 71             mov al,71
脱壳后，用插件修复，OK。。。
不会手动处理。。。。。

xie83544109

看看自己能不能搞定这个壳

myshell

have a try.