【吾爱培训】第一课选修作业四-PECompact v2.xx 单步F8脱壳+修复（图文作业）

pnccm · 发表于 2015-7-14 17:28

本帖最后由 pnccm 于 2015-7-14 23:05 编辑

新手教程：有什么说的不对的还请大牛指点纠正。

首先查壳：PeCompact v2.08 -> Bitsum Technologies(signature by loveboom) *

接着OD载入程序：来到下图壳地址入口：

图二：

图三：

图四：

图五：

图六：

图七：来到了我们程序的OEP后用LordPE脱壳：

图八：图七脱壳后是不能运行的，我们还得继续修复IAT后才能正常运行。

图九：这里补充一下。为了能让程序在虚拟机下运行。

方法二：快捷到达oep，这里先感谢下H大。
H大的比较简单到达oep的方法此方法只针对此壳。其他壳请自行测试：
图十：

图十一：

图十二：

图十四：

nmbin · 发表于 2016-9-15 09:49

Hmily 发表于 2015-7-14 22:33
PEcompact有意思的地方是入口的SEH异常跳转。

我用单步法为什么我在图5 到图6的时候单步F8 到了 00455D23 有个CALL eax 真接就跑进去了到不了OEP啊你到那个CALL 没跑吗？第二天我在用单步在这个00455D23 这个CALL 又不跑了顺利F8 就过去了可到了00455D6A CALL edi 这里有跑别的地方去了这是为什么啊？

nmbin · 发表于 2016-9-15 09:26

本帖最后由 nmbin 于 2016-9-15 09:44 编辑

我用单步法为什么我在图5 到图6的时候单步F8 到了 00455D23 有个CALL eax 真接就跑进去了到不了OEP啊你到那个CALL 没跑吗？第二天我在用单步在这个00455D23 这个CALL 又不跑了顺利F8 就过去了可到了00455D6A CALL edi 这里有跑别的地方去了这是为什么啊？

ablack · 发表于 2015-7-14 17:33

详细，支持一下

hnicf · 发表于 2015-7-14 17:36

提示: 作者被禁止或删除内容自动屏蔽

pnccm · 发表于 2015-7-14 18:20

hnicf 发表于 2015-7-14 17:36
第四个脱壳很容易

大牛，菜鸟教程，请别介意简单。也许对于想我这样的新手，单步的话就会很密码。因为像H大那种直接往下拉的方法。可能会找不到真正的跳向oep的地址。其实H大放的作业肯定是简单的，太难的话我们也脱不了。之所以写这个简单的教程，是希望后来者的新手遇到同样的壳可以通过论坛搜索找到相关的解决办法。也算是给自己的作业做一个备份。以后忘记了可以重新看一下

XKQ · 发表于 2015-7-14 19:05

学习了,这个壳很简单的

Securiyt · 发表于 2015-7-14 20:39

这是为什么？

pnccm · 发表于 2015-7-14 22:18

Securiyt 发表于 2015-7-14 20:39
这是为什么？

http://www.52pojie.cn/thread-378612-1-1.html 这个帖子里面就有

Hmily · 发表于 2015-7-14 22:33

pnccm 发表于 2015-7-14 18:20
大牛，菜鸟教程，请别介意简单。也许对于想我这样的新手，单步的话就会很密码。因为像H大那种直接往下拉 ...

PEcompact有意思的地方是入口的SEH异常跳转。

PEcompact也可以直接找OEP，直接把入口的第一个push压栈地址拷贝出来在OD里找到那个地址，然后往下拉一段代码就看到jmp eax，那就是跳到OEP。

pnccm · 发表于 2015-7-14 22:49

Hmily 发表于 2015-7-14 22:33
PEcompact有意思的地方是入口的SEH异常跳转。

再一次感谢H大。此方法确实比单步简单多了。

w1w2w1w2 · 发表于 2015-7-15 18:41

作业四在哪里能下载到？

帐号		自动登录	找回密码
密码			注册[Register]

hnicf hnicf 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	hnicf 发表于 2015-7-14 17:36 提示: 作者被禁止或删除内容自动屏蔽
	如何快速判断一个文件是否为病毒！
	回复支持举报

[第一课] 【吾爱培训】第一课选修作业四-PECompact v2.xx 单步F8脱壳+修复（图文作业）

免费评分

点评

点评