简单手脱PECompact 2.x -> Jeremy Collake

今天基友发来一溢出程序让免杀,载入PEid显示PECompact 2.x -> Jeremy Collake,脱壳咱是小菜啊~果断百度找方法,记录下脱壳的过程.
首先程序载入OD 后停在此处:

00407A2F >  B8 38D3E400     mov     eax,XS++.00E4D338
00407A34    50              push    eax
00407A35    64:FF35 0000000>push    dword ptr fs:[0]
00407A3C    64:8925 0000000>mov     dword ptr fs:[0],esp
00407A43    33C0            xor     eax,eax
00407A45    8908            mov     dword ptr ds:[eax],ecx

单步 F8 3下到 这里

00407A3C    64:8925 0000000>mov     dword ptr fs:[0],esp

看esp 的值, 使用esp定律,(dd esp,-跟随到数据窗口-断点-硬件访问断点 byte), 然后 shift + F9 停到这里:

00E4D367    83C4 04         add     esp,4
00E4D36A    55              push    ebp
00E4D36B    53              push    ebx
00E4D36C    51              push    ecx
00E4D36D    57              push    edi
00E4D36E    56              push    esi
00E4D36F    52              push    edx

删除硬件断点, 一直单步F8: (或者往下拉拉,看下面的代码 ,找到 jmp eax; 直接下断)

00E4D3F7    59                pop     ecx
00E4D3F8    5B                pop     ebx
00E4D3F9    5D                pop     ebp
00E4D3FA    FFE0              jmp     eax; /// 跑到 oep
00E4D3FC    0000              add     byte ptr ds:[eax],al
00E4D3FE    0000              add     byte ptr ds:[eax],al
00E4D400    0000              add     byte ptr ds:[eax],al

OK,到达入口点,脱之~

给TA买糖
共{{data.count}}人
人已赞赏
技术文档

程序占坑源代码(VC++)

2016-12-10 15:57:07

技术文档

Win7系统开启无线WIFI热点功能 让手机笔记本共享上网

2016-12-10 16:29:36

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
有新私信 私信列表
搜索