吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11096|回复: 10
收起左侧

手脱PECompact 2.x -> Jeremy Collake 搞效篇《这个字故意的》

[复制链接]
小黑冰 发表于 2008-6-24 03:40
查壳PECompact 2.x -> Jeremy Collake
OD载入 按否
停在了这代码段
00401000 >mov eax,网易博客.0052A1A0
00401005 push eax
00401006 push dword ptr fs:[0]
0040100D mov dword ptr fs:[0],esp
00401014 xor eax,eax
00401016 mov dword ptr ds:[eax],ecx 走到这里跳了

到了程序的领空,菜鸟不要怕哈```管他什么领空的 我们只要脱壳是不。
7C92EAF0 mov ebx,dword ptr ss:[esp]
7C92EAF3 push ecx
7C92EAF4 push ebx
7C92EAF5 call ntdll.7C9577C1
7C92EAFA or al,al
7C92EAFC je short ntdll.7C92EB0A
7C92EAFE pop ebx
7C92EAFF pop ecx
7C92EB00 push 0
7C92EB02 push ecx
7C92EB03 call ntdll.ZwContinue  这里F7进
7C92EB08 jmp short ntdll.7C92EB15



7C92D619 >mov eax,20
7C92D61E mov edx,7FFE0300
7C92D623 call dword ptr ds:[edx]  这里F7进
7C92D625 retn 87C92EB8B >mov edx,esp


7C92EB8B >mov edx,esp
7C92EB8D sysenter 跳了
7C92EB8F nop
7C92EB90 nop
7C92EB91 nop
7C92EB92 nop
7C92EB93 nop
7C92EB94 >retn

0052A1C3 mov eax,F0528F9F
0052A1C8 pop dword ptr fs:[0]
0052A1CF add esp,4
0052A1D2 push ebp
0052A1D3 push ebx
0052A1D4 push ecx
0052A1D5 push edi
0052A1D6 push esi
0052A1D7 push edx
0052A1D8 lea ebx,dword ptr ds:[eax+100011DD]
0052A1DE mov edx,dword ptr ds:[ebx+18]
0052A1E1 push edx
0052A1E2 mov ebp,eax
0052A1E4 push 40
0052A1E6 push 1000
0052A1EB push dword ptr ds:[ebx+4]
0052A1EE push 0
0052A1F0 mov ecx,dword ptr ds:[ebx+10]
0052A1F3 add ecx,edx
0052A1F5 mov eax,dword ptr ds:[ecx]
0052A1F7 call eax   F7进

7C809A51 >mov edi,edi
7C809A53 push ebp
7C809A54 mov ebp,esp
7C809A56 push dword ptr ss:[ebp+14]
7C809A59 push dword ptr ss:[ebp+10]
7C809A5C push dword ptr ss:[ebp+C]
7C809A5F push dword ptr ss:[ebp+8]
7C809A62 push -1
7C809A64 call kernel32.VirtualAllocEx
7C809A69 pop ebp
7C809A6A retn 10  

0052A1F9 pop edx                                    ; 网易博客.00400000
0052A1FA mov edi,eax
0052A1FC push eax
0052A1FD push edx
0052A1FE mov esi,dword ptr ds:[ebx]
0052A200 mov eax,dword ptr ds:[ebx+20]
0052A203 add eax,edx
0052A205 mov ecx,dword ptr ds:[eax]
0052A207 mov dword ptr ds:[ebx+20],ecx
0052A20A mov eax,dword ptr ds:[ebx+1C]
0052A20D add eax,edx
0052A20F mov ecx,dword ptr ds:[eax]
0052A211 mov dword ptr ds:[ebx+1C],ecx
0052A214 add esi,edx
0052A216 mov ecx,dword ptr ds:[ebx+C]
0052A219 add ecx,edx
0052A21B lea eax,dword ptr ds:[ebx+1C]
0052A21E push eax
0052A21F push edi
0052A220 push esi
0052A221 call ecx  F7进


终于来到了第2层壳了
0052A0CE pushad
0052A0CF mov esi,dword ptr ss:[esp+24]  走到这里 看到ESP变红了哦 怎么办呢  继续看下面的文章贝!~~
0052A0D3 mov edi,dword ptr ss:[esp+28]
0052A0D7 cld
0052A0D8 xor ebx,ebx
0052A0DA xor edx,edx
0052A0DC movs byte ptr es:[edi],byte ptr ds:[esi]
0052A0DD mov bl,2
0052A0DF call 网易博客.0052A151

大家想到了用什么呢?? 听到了几个菜鸟在小声说:“屁股都想得出来拉,这还用问”当然就是使用ESP定律拉~~!~  
命令HR ESP
然后回车
然后SHIFT+F9
然后
调试-硬件断点 删除掉噢`~~
要不会出错滴`~~~

最后看到了这代码
0052A223 pop edx    0052A224 pop eax
0052A225 add eax,dword ptr ds:[ebx+8]
0052A228 mov edi,eax
0052A22A push edx
0052A22B mov esi,eax
0052A22D mov eax,dword ptr ds:[esi-4]
0052A230 add eax,4
0052A233 sub esi,eax
0052A235 mov dword ptr ds:[esi+8],edx

这是什么呢? 这就是OEP拉 是DEIPFI写的 不要在走了噢`~`在走可能你就回不了头拉`~~~`  
这时候又听了菜鸟说:谁不知道这是OEP啊,我早就背熟拉`~~ 这还用说 ,小心我丢砖头哦`~~~
就到这哈``~`   写错的话 欢迎砖头啊,内裤啊,袜子啊 什么都尽管来  乱说的话小心被我K哟

886
最后感谢 小生和逆流哥的照顾!~~~
[s:40]

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

小生我怕怕 发表于 2008-6-24 03:42
呵呵,越来越厉害啦,努力加油兄弟,你一定行!
306943754 发表于 2008-6-24 04:23
wgz001 发表于 2008-6-24 08:11
niliu 发表于 2008-6-24 08:53
[s:43]  貌似我没教你哈。。。
 楼主| 小黑冰 发表于 2008-6-24 23:07
最新版是不是 我就不知道了 我就知道是DELPHI写的 就不错拉 [s:40] [s:40] [s:40]
gjdzwgl 发表于 2008-6-25 15:26
厉害.厉害!向你学习! [s:43]
Hmily 发表于 2008-6-30 03:17
PECompact脱壳最简单方法就是载入OD后,在入口点设置硬件断点,然后F9就到OEP了,因为加壳程序的入口点和无壳的OEP是同一个地方~
快乐先锋 发表于 2008-7-28 21:15
不带附加数据的么?
比较关注带附加数据的呢
傻人有傻福 发表于 2008-7-28 23:57
没看懂楼主的意思啊
7楼的方法好想很强大啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 11:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表