ღ Miranda

手脱PECompact2.X的壳

总结一下手脱PECompact2.X的方法。

PECompact开头特征

OEP

这是一个VC++6.0编写的程序:


脱壳

单步

单步要注意有两个call要跟进去,不然程序会跑飞。

第一处:

第二处:

ESP定律

开头单步:

然后用ESP定律,指令为dd 0012FFBC,然后加硬件断点,运行,再取消硬件断点,再单步就可以到达OEP。

BP VirtualFree

命令输入BP VirtualFree,然后直接运行,在断处取消断点,搜索命令push 8000,按ALT+F9执行到用户代码,查找push 8000(特征码)并加上断点,运行到这,取消断点,单步跟到达OEP。

也可以按两次SHIFT+F9,中断后取消断点,Alt+F9返回,单步跟到OEP。

直接下断点

注意开头:

输入命令bp 0045de74,直接运行后,取消断点:

运行,取消断点,单步跟就能到OEP。

BP VirtualAlloc

命令输入BP VirtualAlloc直接运行,取消断点,ALT+F9后向下拉看到:

运行后取消断点,单步跟。

两次内存镜像

两次内存镜像后下断,运行,单步跟就可以到OEP

at GetVersion

命令输入at GetVersion,会跳到:

运行,取消断点,单步到这:

  1. Davkeene说道:

    Canadian Drug By Mail Levitra 10 Mg Forum viagra Propecia Dosis Efectos Adversos

发表评论

电子邮件地址不会被公开。