手动脱PEcompact 2.x

最新推荐文章于 2025-03-20 21:24:56 发布
转载 最新推荐文章于 2025-03-20 21:24:56 发布 · 1.4k 阅读 · 0
文章标签:

#c #command #byte #脚本 #import #制造

本文介绍了一种手动去除PEcompact2.x壳的方法,包括使用OllyDbg调试器忽略内存访问异常来加载主程序,跟踪关键指令并设置断点以找到原始导入表地址,最后完成脱壳。

手动脱PEcompact 2.x的壳

一、

OllyDbg忽略内存访问异常,载入主程序:

00401000 >  B8 1CBA5000     MOV     EAX,0050BA1C
00401005    50              PUSH    EAX
00401006    64:FF35 0000000>PUSH    DWORD PTR FS:[0]
0040100D    64:8925 0000000>MOV     DWORD PTR FS:[0],ESP
00401014    33C0            XOR     EAX,EAX
00401016    8908            MOV     DWORD PTR DS:[EAX],ECX
00401018    50              PUSH    EAX
00401019    45              INC     EBP
0040101A    43              INC     EBX
0040101B    6F              OUTS    DX,DWORD PTR ES:[EDI]            ; I/O command
0040101C    6D              INS     DWORD PTR ES:[EDI],DX            ; I/O command

bp VirtualAlloc  运行

返回到用户代码:

Ctrl+F搜索命令:call edi

0050BAC1    8B4B 0C         MOV     ECX,DWORD PTR DS:[EBX+C]
0050BAC4    894E 14         MOV     DWORD PTR DS:[ESI+14],ECX
0050BAC7    FFD7            CALL    EDI        ;跟进去
0050BAC9    8985 23120010   MOV     DWORD PTR SS:[EBP+10001223],EAX
0050BACF    8BF0            MOV     ESI,EAX
0050BAD1    59              POP     ECX
0050BAD2    5A              POP     EDX

进入call edi,来到:

01240258    53              PUSH    EBX                              ; GameThru.0050B9F8
01240259    57              PUSH    EDI
0124025A    56              PUSH    ESI
0124025B    55              PUSH    EBP
0124025C    E8 00000000     CALL    01240261
01240261    5D              POP     EBP
01240262    81ED 30120010   SUB     EBP,10001230
01240268    8DB5 27120010   LEA     ESI,DWORD PTR SS:[EBP+10001227]
0124026E    8B46 FC         MOV     EAX,DWORD PTR DS:[ESI-4]

Ctrl+F搜索命令:mov ecx,[esi+34]

01240333    90              NOP
01240334    90              NOP
01240335    8B4E 34         MOV     ECX,DWORD PTR DS:[ESI+34]
01240338    85C9            TEST    ECX,ECX      ; ecx=8D000保存原始Import,把它改成零
0124033A    0F84 89000000   JE      012403C9      ; 这里强制跳过去,跟tE一样
01240340    034E 08         ADD     ECX,DWORD PTR DS:[ESI+8]
01240343    51              PUSH    ECX
01240344    56              PUSH    ESI

bp VirtualFree,中断两次以后返回(thx2fly):

0050BADC    57              PUSH    EDI
0050BADD    FF11            CALL    DWORD PTR DS:[ECX]
0050BADF    8BC6            MOV     EAX,ESI                          ; GameThru.00487228
0050BAE1    5A              POP     EDX
0050BAE2    5E              POP     ESI
0050BAE3    5F              POP     EDI
0050BAE4    59              POP     ECX
0050BAE5    5B              POP     EBX
0050BAE6    5D              POP     EBP
0050BAE7    FFE0            JMP     EAX        ; 飞向光明之颠^o^

完全dump下来,修正输入表为8D000,收工。

【OS自动脚本】

////////////////////////////////////////////

////    PECompact V2.X 完美脱壳脚本

////    cyclotron [BCG][DFCG][FCG][OCN]

////////////////////////////////////////////

msg  "请忽略内存访问异常!"

var  dwImport

gpa  "VirtualAlloc","kernel32.dll"
bp  $RESULT
run

bc  $RESULT 
rtu

findop  eip,#FFD7#  //call edi
bp  $RESULT
run

bc  $RESULT
sti

findop  eip,#8B4E34#  //mov ecx,[esi+34h]
bp  $RESULT
run

bc  $RESULT
sti
mov  dwImport,ecx
mov  ecx,0

gpa  "VirtualFree","kernel32.dll"
bp  $RESULT
run
run

bc  $RESULT
rtu

findop  eip,#FFE0#  //jmp eax
bp  $RESULT
run
bc  $RESULT

msg  dwImport
msg  "请转储文件!"


Regards,
cyclotron
05.2.6

二、

 今天还有朋友在问PeCompact2.x的脱壳方法,我再这里把我的通用脱法提一下(在看其它高手们文章的基础上总结的,在此表示感谢).
  [法则]:
   PeCompact2.x是制造了两个异常(00000000内存写异常和Single Step单步循环异常),我们可以轻松通过查看SEH链来进行脱壳

下面我说一下通用简单脱壳法:

1、去掉所有异常忽略,保留kernel32里的内存读写异常忽略
2、F9,run
3、遇到写[00000000]内存异常,暂停
4、查看SEH 链,也可从esp+4获得第一个SE Handle,Ctrl+G,来到此地址
5、向下找jmp eax,大概在$+CB处,记住此地址
6、ollydbg重新载入,下硬件执行断点: he 第5步的地址,F9,Shift+F9,中断
7、F8
8、dump,imprec fix iat,完工

  [例子]:
   GameThrust1.2: http://www.onlinedown.net/soft/37372.htm
   工具: Ollydbg/LordPE/Imprec
   依照上面提及通用方法,去掉ollydbg中所有异常忽略,保留kernel32里的内存读写异常忽略
   用ollydbg载入GameThrust.exe,F9

引用:
00401000 > B8 34C05000      MOV EAX,GameThru.0050C034
00401005   50               PUSH EAX
00401006   64:FF35 00000000 PUSH DWORD PTR FS:[0]
0040100D   64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00401014   33C0             XOR EAX,EAX
00401016   8908             MOV DWORD PTR DS:[EAX],ECX  ;****此处异常****
00401018   50               PUSH EAX
00401019   45               INC EBP
0040101A   43               INC EBX


查看SEH 链,也可从esp+4获得第一个SE Handle

引用:
0012FFBC   0012FFE0  Pointer to next SEH record
0012FFC0   0050C034  SE handler  ;******SE handle  50C034*****
0012FFC4   7C816D4F  RETURN to kernel32.7C816D4F
0012FFC8   7C930738  ntdll.7C930738
0012FFCC   FFFFFFFF
0012FFD0   7FFD9000
0012FFD4   8054C038

 

Ctrl+G,50C034

引用:
0050C034   B8 DEAE50F0      MOV EAX,F050AEDE    ;***来到这里***
0050C039   8D88 79110010    LEA ECX,DWORD PTR DS:[EAX+10001179]
0050C03F   8941 01          MOV DWORD PTR DS:[ECX+1],EAX
0050C042   8B5424 04        MOV EDX,DWORD PTR SS:[ESP+4]
0050C046   8B52 0C          MOV EDX,DWORD PTR DS:[EDX+C]
0050C049   C602 E9          MOV BYTE PTR DS:[EDX],0E9
0050C04C   83C2 05          ADD EDX,5
0050C04F   2BCA             SUB ECX,EDX
0050C051   894A FC          MOV DWORD PTR DS:[EDX-4],ECX
0050C054   33C0             XOR EAX,EAX
0050C056   C3               RETN
0050C057   B8 78563412      MOV EAX,12345678
0050C05C   64:8F05 00000000 POP DWORD PTR FS:[0]
0050C063   83C4 04          ADD ESP,4
0050C066   55               PUSH EBP
0050C067   53               PUSH EBX
0050C068   51               PUSH ECX
0050C069   57               PUSH EDI
0050C06A   56               PUSH ESI
0050C06B   52               PUSH EDX
0050C06C   8D98 32110010    LEA EBX,DWORD PTR DS:[EAX+10001132]
0050C072   8B53 18          MOV EDX,DWORD PTR DS:[EBX+18]
0050C075   52               PUSH EDX
0050C076   8BE8             MOV EBP,EAX
0050C078   6A 40            PUSH 40
0050C07A   68 00100000      PUSH 1000
0050C07F   FF73 04          PUSH DWORD PTR DS:[EBX+4]
0050C082   6A 00            PUSH 0
0050C084   8B4B 10          MOV ECX,DWORD PTR DS:[EBX+10]
0050C087   03CA             ADD ECX,EDX
0050C089   8B01             MOV EAX,DWORD PTR DS:[ECX]
0050C08B   FFD0             CALL EAX
0050C08D   5A               POP EDX
0050C08E   8BF8             MOV EDI,EAX
0050C090   50               PUSH EAX
0050C091   52               PUSH EDX
0050C092   8B33             MOV ESI,DWORD PTR DS:[EBX]
0050C094   8B43 20          MOV EAX,DWORD PTR DS:[EBX+20]
0050C097   03C2             ADD EAX,EDX
0050C099   8B08             MOV ECX,DWORD PTR DS:[EAX]
0050C09B   894B 20          MOV DWORD PTR DS:[EBX+20],ECX
0050C09E   8B43 1C          MOV EAX,DWORD PTR DS:[EBX+1C]
0050C0A1   03C2             ADD EAX,EDX
0050C0A3   8B08             MOV ECX,DWORD PTR DS:[EAX]
0050C0A5   894B 1C          MOV DWORD PTR DS:[EBX+1C],ECX
0050C0A8   03F2             ADD ESI,EDX
0050C0AA   8B4B 0C          MOV ECX,DWORD PTR DS:[EBX+C]
0050C0AD   03CA             ADD ECX,EDX
0050C0AF   8D43 1C          LEA EAX,DWORD PTR DS:[EBX+1C]
0050C0B2   50               PUSH EAX
0050C0B3   57               PUSH EDI
0050C0B4   56               PUSH ESI
0050C0B5   FFD1             CALL ECX
0050C0B7   5A               POP EDX
0050C0B8   58               POP EAX
0050C0B9   0343 08          ADD EAX,DWORD PTR DS:[EBX+8]
0050C0BC   8BF8             MOV EDI,EAX
0050C0BE   52               PUSH EDX
0050C0BF   8BF0             MOV ESI,EAX
0050C0C1   8B46 FC          MOV EAX,DWORD PTR DS:[ESI-4]
0050C0C4   83C0 04          ADD EAX,4
0050C0C7   2BF0             SUB ESI,EAX
0050C0C9   8956 08          MOV DWORD PTR DS:[ESI+8],EDX
0050C0CC   8B4B 10          MOV ECX,DWORD PTR DS:[EBX+10]
0050C0CF   894E 24          MOV DWORD PTR DS:[ESI+24],ECX
0050C0D2   8B4B 14          MOV ECX,DWORD PTR DS:[EBX+14]
0050C0D5   51               PUSH ECX
0050C0D6   894E 28          MOV DWORD PTR DS:[ESI+28],ECX
0050C0D9   8B4B 0C          MOV ECX,DWORD PTR DS:[EBX+C]
0050C0DC   894E 14          MOV DWORD PTR DS:[ESI+14],ECX
0050C0DF   FFD7             CALL EDI
0050C0E1   8985 23120010    MOV DWORD PTR SS:[EBP+10001223],EAX
0050C0E7   8BF0             MOV ESI,EAX
0050C0E9   59               POP ECX
0050C0EA   5A               POP EDX
0050C0EB   03CA             ADD ECX,EDX
0050C0ED   68 00800000      PUSH 8000
0050C0F2   6A 00            PUSH 0
0050C0F4   57               PUSH EDI
0050C0F5   FF11             CALL DWORD PTR DS:[ECX]
0050C0F7   8BC6             MOV EAX,ESI
0050C0F9   5A               POP EDX
0050C0FA   5E               POP ESI
0050C0FB   5F               POP EDI
0050C0FC   59               POP ECX
0050C0FD   5B               POP EBX
0050C0FE   5D               POP EBP
0050C0FF   FFE0             JMP EAX           ;*****JMP EAX*****
0050C101   0000             ADD BYTE PTR DS:[EAX],AL
0050C103   0000             ADD BYTE PTR DS:[EAX],AL

 

 

向下找jmp eax,大概在$+CB处,记住此地址50c0ff

用ollydbg重新载入,下硬件执行断点: he 50c0ff,F9,Shift+F9,中断
F8,来到487228处

引用:
00487228   55               PUSH EBP  *****OEP******
00487229   8BEC             MOV EBP,ESP
0048722B   B9 35000000      MOV ECX,35
00487230   6A 00            PUSH 0
00487232   6A 00            PUSH 0
00487234   49               DEC ECX
00487235  ^75 F9            JNZ SHORT GameThru.00487230
00487237   51               PUSH ECX
00487238   53               PUSH EBX
00487239   56               PUSH ESI
0048723A   57               PUSH EDI
0048723B   B8 706E4800      MOV EAX,GameThru.00486E70
00487240   E8 97EDF7FF      CALL GameThru.00405FDC
00487245   33C0             XOR EAX,EAX

 


dump,imprec fix iat,完工.


  别看写了这么多,真正做起来就几步,实际上有经验的话,几个F8,然后shift+F8,跟踪几下就到了.

壳第二讲,手动PECompact 2.x
weixin_30664051的博客
10-26 421
              壳第二讲,手动PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳,先查壳. 发现是这个壳 利用Esp定律,掉这个壳. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析...
一个PECompact2.X的壳
enolaZ的专栏
10-10 1821
RamSmash 手动壳+破解作者:enolaZ软件说明:这个软件是优化内存用的,注册与未注册在功能上没有区别,但未注册版本会每小时弹出一个要求注册的NAG窗口,当选择REGISTER NOW的BUTTON后会打开注册网页(有时好象是一堆。。)破解目的:手动壳去掉该NAG窗口声明: 本文纯属学习交流,请不要随意散布或用于商业用途。在下菜鸟一只,欢迎各位高手批评指教 用OD加载,停在入口
手动壳之PECompact
rayjoker1_one的博客
11-27 783
这个星期开始学壳,就从简单的压缩壳开始吧。
yoda 1.0x Protector和PECompact 2.x双层壳壳笔记
herx1的专栏
07-26 2129
下面是壳的简单记录: 程序开始处:00465060 >  55              push    ebp00465061    8BEC            mov     ebp, esp00465063    53              push    ebx00465064    56              push    esi00465065    57   
壳实战_手动Zprotect
weixin_30279315的博客
07-06 1802
通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别...
dbg手动壳&攻防世界【crackme】
最新发布
2401_86886131的博客
03-20 699
我们输入一个长度位42的字符串,然后让key叠加,然后与输入的字符串异或得到加密后的数据,也就是dword_402150。逻辑是v4与byte_402130进行异或,然后与数组dword_402150进行比较。当我们执行f9执行程序到断电位置的时候,就会来到popfd这个位置。可以看到this_is_not_flag刚好十六位。所以dword_402150是我们加密后的数据。硬件访问断点,双字,因为是32位。点击跳入新的十六进制窗口。攻防世界crackme。将程序拖进x32dbg。V4是我们输入的字符串。
手动壳技巧总结
93Storm
04-24 529
1、  壳名:PECompact 2.x -> Jeremy Collake 壳方式:采用ESP定律进行2、后序会慢慢总结进行补充。
Ollydbg手动壳得几点小结
vbsourcecode的专栏
11-02 3921
手动壳 Ollydbg手动壳得几点小结:           一般认为手动壳的关键是找到软件的真正入口OEP,但是用ollydbg壳知道软件的真正入口OEP并不能解决问题,因为ollydbg的工作原理和softice、trw2000等的有所不同,在OEP未解压以前是不能在OEP设断上的,因此用ollydbg壳的关键是让程序中断在OEP,一旦中断在OEP壳就告完成。
[壳破解]壳小结
独步清风
11-23 4202
首先什么是壳 作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3.在黑客界给木马等软件加壳以躲避杀毒软件。 壳的分类: 压缩壳和加密壳 如何分辨加密壳和压缩壳,通用特点,O
PEcompact壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下...
16种可用ESP定律的壳
01-29
3. PECompact 1.68 - 1.84:注意第一个PUSH指令,其后的地址加上基址等于EOP(End Of Pack)。 4. EZIP 1.0:直接查找ESP。 5. JDPack 1.x / JDProtect 0.9:ESP+S(6150)处有MOV和POPAD,接着是PUSH EAX和RETN。 6. ...
多种壳软件
07-18
2.在使用这个壳机过程中遇到比较严重的问题或者不能的壳,可以来E-mail和我交流,欢迎技术交流,谢绝任何形式的壳请求, 因为我只是个菜鸟。对于有价值的来信,我会酌情回复最新版壳机。 得到这个壳机的人,...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
热门推荐
民工哥的博客
02-23 1万+
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4273
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7624
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 2146
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 3191
为什么要清除浮动?因为往往浮动后的子元素因为离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4626
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4810
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值