PECompact3.0

最新推荐文章于 2025-08-13 16:53:45 发布
原创 最新推荐文章于 2025-08-13 16:53:45 发布 · 595 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

文章目录

新套路(1)

bp VirtualFree

在这里插入图片描述
在这里插入图片描述
在这里输入bp VirtualFree ,紧接着回车,然后执行

执行到用户代码

在这里插入图片描述
执行后界面变成这样,然后取消此处断点。
紧接着执行到用户代码(Alt+F9)或者如下图操作
在这里插入图片描述

最后,单步调试即可

在这里插入图片描述
记住到这里,
在这里插入图片描述
这个jmp eax是跳往OEP地址
在这里插入图片描述
这个方法感觉也就是借助VirtualFree作为一个踏板,跳到用户代码,剩下的单步调试就轻松多了

新套路(2)

bp VirtualFree

在这里插入图片描述
在这里插入图片描述
在这里输入bp VirtualFree ,紧接着回车,然后执行

执行到用户代码

在这里插入图片描述
执行后界面变成这样,然后取消此处断点。
紧接着执行到用户代码(Alt+F9)或者如下图操作
在这里插入图片描述

搜索push 8000(特征码)

在这里插入图片描述
我试了一下,失败了。。。可能3.0里面没有。。。。本来想到push 8000查到后,然后直接向下跟踪时会更快一点。。。但是没法找到这个特征码。。

新套路(3)

首先查看一下,这壳刚开始设置的SEH链的函数地址
在这里插入图片描述

一看就知道是0x3B6AB4,接下来一顿操作猛如虎

bp 0x3B6AB4

在这里插入图片描述
按下回车后,点击运行,然后到达这里
在这里插入图片描述

然后再这个return 下一行下断点

在这里插入图片描述
点击运行(shift+F9

剩下的交给单步跟踪即可

在这里插入图片描述

新套路(4)

bp VirtualAlloc

在这里插入图片描述
在这里插入图片描述
按下回车,然后运行(shift +F9),运行后截图
在这里插入图片描述

执行到用户代码(Alt+F9)

先取消断点,然后执行到用户代码(Alt+F9)或者如下图操作
在这里插入图片描述

向下拉,看到jmp后,直接设置断点运行即可

在这里插入图片描述
找到第一个jmp后,然后单步往下调试,就能迅速找到跳转到OEP 的代码
在这里插入图片描述
在这里插入图片描述

新套路(5)(最后一次异常法)

利用最后一次异常直接跑飞,但前提的取消所有的异常
在这里插入图片描述
重新载入,记住是按了几次运行(shift+F9)才让程序运行起来的,利用最后一次的异常处理函数进行单步调试

第一次shift+F9

在这里插入图片描述

第二次shift+F9

在这里插入图片描述

总结:

两次运行才把程序运行起来,所以我们运行一次后,利用栈中存放的SEH处理函数,接着往下单步调试

第一次shift+F9

在这里插入图片描述
观察栈中,有一个SE handler,它就是异常处理函数的地址,直接找到它,然后下个断点,单步往下调试

搜索,下断

ctrl +G搜索
在这里插入图片描述

在异常处理函数下断也行,或者一步直接在异常处理函数return后面下断也行

第一次断

在这里插入图片描述

第二次断

在这里插入图片描述

接着单步调试

两次内存

第一次(.rsrc段)

在这里插入图片描述

在这里插入图片描述
点击运行

第二次(.txt段(一般为1000))

在这里插入图片描述
点击运行,运行后截图
在这里插入图片描述

然后下断运行

在这里插入图片描述

点击运行
在这里插入图片描述

接着单步向下跟踪

在这里插入图片描述

PECompact3.0.2.2壳内API序列及指令序列
摔不死的笨鸟的博客
06-28 349
基于Pin实现指令集采集和API序列采集,对壳的原理进行研究。
手脫 -- PECompact 2.x -> Jeremy Collake
创造神话,实现梦想!
08-13 3788
手脫 -- PECompact 2.x -> Jeremy CollakePEID: PECompact 2.x -> Jeremy Collake脱壳工具下载有专用的脱壳工具,这里做为练手。OD载入加了壳的程序.入口点: --- 这里很怪如果你F8走, 走到00401016 就会飞1.先忽略所有异常.2. F8 行两步 , 这里可以用ESP定律00401000 >  B8 DC2B4100   
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下了 004010EC > 68 CC624000 push srtmaker.004062CC ; VB5!6&vb6chs;.dll 004010F1 E8 EEFFFFFF call srtmaker.004010E4 ; jmp 到 msvbvm60.ThunRTMain 004010F6 0000 add byte ptr ds:[eax],al 004010F8 0000 add byte ptr ds:[eax],al 004010FA 0000 add byte ptr ds:[eax],al 004010FC 3000 xor byte ptr ds:[eax],al 004010FE 0000 add byte ptr ds:[eax],al 00401100 40 inc eax ; srtmaker. 这就是OEP,程序入口 然后打开LordPE 完整转存 然后打开IMPortREC 到此已经脱好了,请各位爽吧
逆向脱壳实训 #3 多途径脱PECompact
weixin_48066554的博客
01-18 637
逆向脱壳实训 #3 多途径脱PECompact 文章目录逆向脱壳实训 #3 多途径脱PECompact环境 & 工具查壳脱壳方法1、单步手脱2、ESP定律3、BP VirtualFree4、BP VirtualAlloc5、最后一次异常法 使用多种方法进行 环境 & 工具 win xp系统 吾爱破解版ollydbg PEiD 查壳 脱壳方法 1、单步手脱 单步运行至此call时,如果f8,程序会直接开始运行,所以运行至此处时单击f7跟进 继续单步,至此call同样会开始运行,继续f7
x-cmd pkg | upx - 一个开源的可执行文件压缩工具
edwinjhlee的博客
09-28 1763
UPX(全称: Ultimate Packer for eXecutables),是一个开源的可执行文件压缩工具。它的主要目的是将可执行文件和共享库(通常是二进制文件)压缩为更小的尺寸,从而减少磁盘占用空间和下载时间。UPX 采用无损压缩技术,可以在不影响可执行文件的功能的情况下(压缩后的文件仍可直接执行)减小文件的大小。它通常用于减小应用程序、二进制文件或脚本的大小,特别是在需要分发或传输这些文件时,以减少带宽和存储成本。
PEcompact 3.X 脱壳
weixin_34176694的博客
10-21 359
本文思路主要来自于 这篇帖子(https://www.52pojie.cn/thread-682776-1-1.html) 这次拿exescope当作例子。 用x64dbg进行调试,来到401000 F8两次到401000D 此时给esp所指的内存下硬件访问断点 然后一路F9直到来到这 不远处会出现 F2下断点 F9到达OEP 此时就可以用scylla dump ...
PECompact_3.0.2.2 汉化绿色版
08-27
一个能压缩可执行文件的工具,通过压缩代码、数据、相关资源使压缩能达到100%,由于在运行时不需要恢复磁盘上压缩后的数据,所以与没有压缩的程序在运行时没有明显的速度差异,在某种程度上还有所改善。
PECompact3.0.2.2-trace.out
06-28
PECompact3.0.2.2-trace.out
PECompact_3.0.2.2压缩工具:代码与资源压缩提升运行效率
标题中提到的“PECompact_3.0.2.2 汉化绿色版”指的是一款特定版本号的PECompact软件,这是一个专门用于压缩Windows平台下的可执行文件(.exe)的工具。软件名字中的“PE”指程序执行(Portable Executable)文件...
PECompact 3.11简体中文汉化版.rar
09-02
软件介绍: PECompact是一款EXE可执行文件压缩及加壳工具,它的压缩率非常高,而且压缩后的程序不需要解压就能直接运行。在使用时不需要恢复压缩后的数据,所以压缩后的程序启动速度与压缩前基本没有明显的差异。一些(不是全部)安装/设置/自解压的可执行文件不能被压缩,并保持正常运行。这是由于他们的设计(参考叠加/额外的数据通过一个恒定的物理偏移量)。可以在常规选项中设置压缩选项,允许多重压缩、在压缩之前备份程序,压缩资源可以安全压缩,模拟叠加/额外数据(用于自解压,安装等),执行内存保护及执行代码完整性检查。可以设置选项到最大压缩以及设置选项到最大解压速度。FFCE 具有较好的补偿比率及快速解压缩。LZMA 算法具有更好的补偿比率但解压缩速度较慢。
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
pecompact-3.0.2.rar_PECompact
09-14
Just pe compact exe, its is not source: P
分享一款高效的可执行文件脱壳工具PECompact
最新发布
weixin_42502040的博客
08-13 1793
PECompact是一款广泛使用的脱壳工具,主要用于处理通过特定压缩工具如PECompact打包的可执行文件。此工具能还原这些文件到其原始形态,便于逆向工程研究和安全分析。壳(Packer)是用于压缩和保护可执行文件的一种软件技术。它通过将原文件压缩,再附加一个解压引导程序的方式来提高软件的加载时间,同时保护源代码不被轻易查看或修改。壳可以是一种简单压缩工具,也可以是复杂的保护工具,如加密、加壳和代码混淆等,使软件难以被静态分析和逆向工程。
PECompact v2.70 RC1
Linhanshi Blog
01-13 1398
一个用于压缩Windows 9x/NT/W2k 执行文件(EXE,DLL,SCR,OCX等)的工具,压缩后的文件仍能正常运行。经过PEcompact压缩后的文件能使磁盘空间占用更少,发布费用更低,减少错误,网络下载更快,减少网络堵塞并且使得逆向工程变得更加困难。最新功能包括:#8226;由于对模块在压缩前进行了优化,模块可比现在的一般数据压缩软件压缩得更紧密。#8226;与EX
003 PECompact 2.55
鬼手的博客
03-10 535
文章目录查壳单步跟踪查找OEP修复导入表 查壳 这个目标程序是PECompact 2.55的壳。脱这个壳的时候需要用一些技巧和套路。 单步跟踪查找OEP OD载入, 首先我们需要在VirtualFree下一个API断点,之所以下这个断点是因为壳在解压或者解密代码段的时候都需要申请一块空间来进行解密或解压操作,当VirtualFree完成之后,说明壳的解密或解压操作完成。 然后直接F9运行, ...
002 PECompact 1.84
鬼手的博客
03-10 706
文章目录查壳单步跟踪到OEP修复导入表 查壳 今天来脱一下PECompact 1.84这个壳,脱这个壳的目的是为了了解一个技巧——当遇到无法向下跟随的时候,可以找到附近没有实现的大跳转,下断点继续跟踪。 单步跟踪到OEP 接下来OD载入这个程序,采用单步跟踪的方法脱掉这个压缩壳。 当程序执行到这个位置的时候,这里有一个jmp是往上跳的,按照常规的单步跟踪脱壳的方法,我们应该直接在下一条命令处...
脱壳-PeCompact(2.20)
谢绝(无视)留言与私信
02-13 1131
前言脱壳练习, PeCompact是压缩壳查壳PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
PECompact 2.5脱壳
吖吖狼 的专栏
01-03 1353
文章来源于黑鹰教程 PECompact 2.5 Retail -> Jeremy Collake 设置Ollydbg忽略所有的异常选项。 od载入 01001000 N>  B8 90BA0101     mov eax,NOTEPAD.0101BA90 01001005     50              push eax
第六课 实战petite.98及pecompact
weixin_30449239的博客
08-28 139
第六课 实战petite.98及pecompact 今天我们要讲的是PECompact和Petite。 压缩壳讲到第三课了,大家应该对脱压缩壳方法应该有一定了解了,还是那句老话,压缩壳永远是压缩壳,不需要怕它。那接下来我们就脱PECompact和Petite。 一: 实例之PECompact壳 【...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值