吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13138|回复: 26
收起左侧

[第一课] 【吾爱培训】第一课选修作业四-PECompact v2.xx 单步F8脱壳+修复(图文作业)

[复制链接]
pnccm 发表于 2015-7-14 17:28
本帖最后由 pnccm 于 2015-7-14 23:05 编辑

新手教程:有什么说的不对的还请大牛指点纠正。

首先查壳:PeCompact v2.08 -> Bitsum Technologies(signature by loveboom) *

接着OD载入程序:来到下图壳地址入口:
1.jpg 图二:
2.jpg
图三:
3.jpg
图四:
4.jpg
图五:
5.jpg
图六:
6.jpg
图七:来到了我们程序的OEP后用LordPE脱壳
7.jpg
图八:图七脱壳后是不能运行的,我们还得继续修复IAT后才能正常运行。
8.jpg 图九:这里补充一下。为了能让程序在虚拟机下运行。
9.jpg
方法二:快捷到达oep,这里先感谢下H大。
H大的比较简单到达oep的方法此方法只针对此壳。其他壳请自行测试:
图十:
10.jpg
图十一:
11.jpg
图十二:
12.jpg
图十四:
13.jpg










免费评分

参与人数 5热心值 +5 收起 理由
GNUBD + 1 谢谢@Thanks!
happyfrimy + 1 谢谢@Thanks!
孤旅人 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
Hmily + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
q1070697070 + 1 难道我就是不问世事的大牛?

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

nmbin 发表于 2016-9-15 09:49
Hmily 发表于 2015-7-14 22:33
PEcompact有意思的地方是入口的SEH异常跳转。

我用单步法  为什么我在图5 到图6的时候单步F8  到了 00455D23   有个CALL   eax 真接就跑进去了    到不了OEP啊     你到那个CALL 没跑吗?第二天我在用单步  在这个00455D23 这个CALL 又不跑了  顺利F8 就过去了  可到了00455D6A  CALL  edi  这里有跑别的地方去了  这是为什么啊?
nmbin 发表于 2016-9-15 09:26
本帖最后由 nmbin 于 2016-9-15 09:44 编辑

我用单步法  为什么我在图5 到图6的时候单步F8  到了 00455D23   有个CALL   eax 真接就跑进去了    到不了OEP啊     你到那个CALL 没跑吗?第二天我在用单步  在这个00455D23 这个CALL 又不跑了  顺利F8 就过去了  可到了00455D6A  CALL  edi  这里有跑别的地方去了  这是为什么啊?
ablack 发表于 2015-7-14 17:33
头像被屏蔽
hnicf 发表于 2015-7-14 17:36
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| pnccm 发表于 2015-7-14 18:20
hnicf 发表于 2015-7-14 17:36
第四个脱壳很容易

大牛,菜鸟教程,请别介意简单。也许对于想我这样的新手,单步的话就会很密码。因为像H大那种直接往下拉的方法。可能会找不到真正的跳向oep的地址。其实H大放的作业肯定是简单的,太难的话我们也脱不了。之所以写这个简单的教程,是希望后来者的新手遇到同样的壳可以通过论坛搜索找到相关的解决办法。也算是给自己的作业做一个备份。以后忘记了可以重新看一下

点评

PEcompact有意思的地方是入口的SEH异常跳转。 PEcompact也可以直接找OEP,直接把入口的第一个push压栈地址拷贝出来在OD里找到那个地址,然后往下拉一段代码就看到jmp eax,那就是跳到OEP。  详情 回复 发表于 2015-7-14 22:33
XKQ 发表于 2015-7-14 19:05
学习了,这个壳很简单的
Securiyt 发表于 2015-7-14 20:39
这是为什么?

 楼主| pnccm 发表于 2015-7-14 22:18
Hmily 发表于 2015-7-14 22:33
pnccm 发表于 2015-7-14 18:20
大牛,菜鸟教程,请别介意简单。也许对于想我这样的新手,单步的话就会很密码。因为像H大那种直接往下拉 ...

PEcompact有意思的地方是入口的SEH异常跳转。


PEcompact也可以直接找OEP,直接把入口的第一个push压栈地址拷贝出来在OD里找到那个地址,然后往下拉一段代码就看到jmp eax,那就是跳到OEP。

点评

感谢H大的指导。等下试试看。push压栈地址拷贝出来的地址要在哪里找呢?反汇编窗口找?还是堆栈窗口?  发表于 2015-7-14 22:44
 楼主| pnccm 发表于 2015-7-14 22:49
Hmily 发表于 2015-7-14 22:33
PEcompact有意思的地方是入口的SEH异常跳转。

再一次感谢H大。此方法确实比单步简单多了。
w1w2w1w2 发表于 2015-7-15 18:41
作业四在哪里能下载到?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 09:47

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表