手动脱壳----PECompact 2.x -> Jeremy Collake

最新推荐文章于 2018-10-21 18:53:00 发布
最新推荐文章于 2018-10-21 18:53:00 发布
阅读量1.8k 收藏
点赞数
分类专栏: C/C++语言基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xkjcf/article/details/8829834
版权

网上也有很多手动脱壳的教程,但是光看不写总觉的像自己没学过似的。

 

操作环境:

       操作系统:Windows 7 Ultimate

       OD版本:Olldbg 1.10

       被脱壳软件:文章最后提供下载

下边利用ESP原理脱壳。

 

首先使用OD载入图标王程序,出现提示确定即可。开头的代码如下:

00405A99 > $  B8 D0C74200   MOV EAX,图标王.0042C7D0
00405A9E   .  50            PUSH EAX
00405A9F   .  64:FF35 00000>PUSH DWORD PTR FS:[0]               
00405AA6   .  64:8925 00000>MOV DWORD PTR FS:[0],ESP
00405AAD   .  33C0          XOR EAX,EAX
00405AAF   .  8908          MOV DWORD PTR DS:[EAX],ECX
00405AB1   .  50            PUSH EAX
00405AB2   .  45            INC EBP

单步执行完00405A9E处的PUSH EAX后,观察ESP寄存器为:

ESP 0012FF8C

下一步就在ESP指向的位置设置硬件访问断点,在命令框中输入:

hr 12ff88

按下F9,使程序直接运行,在我运行时出现违规异常,按下Shift+F9忽略异常。

程序运行到这里中断:

76DC8D0B    3B45 F8         CMP EAX,DWORD PTR SS:[EBP-8]
76DC8D0E    72 09           JB SHORT ntdll.76DC8D19
76DC8D10    3B45 F4         CMP EAX,DWORD PTR SS:[EBP-C]
76DC8D13    0F82 E9EF0400   JB ntdll.76E17D02

那么在这之后一直单步执行直到:

0042C87D    8985 23120010   MOV DWORD PTR SS:[EBP+10001223],EAX
0042C883    8BF0            MOV ESI,EAX
0042C885    59              POP ECX
0042C886    5A              POP EDX
0042C887    03CA            ADD ECX,EDX
0042C889    68 00800000     PUSH 8000
0042C88E    6A 00           PUSH 0
0042C890    57              PUSH EDI
0042C891    FF11            CALL DWORD PTR DS:[ECX]
0042C893    8BC6            MOV EAX,ESI
0042C895    5A              POP EDX
0042C896    5E              POP ESI
0042C897    5F              POP EDI
0042C898    59              POP ECX
0042C899    5B              POP EBX                                  ; 7FFD6000
0042C89A    5D              POP EBP
0042C89B    FFE0            JMP EAX

当执行完0x0042C89B中JMP EAX指令后,程序就会跳到程序入口点执行:

00405A99 > $  55            PUSH EBP
00405A9A   ?  8BEC          MOV EBP,ESP
00405A9C   ?  6A FF         PUSH -1
00405A9E   .  68 089D4100   PUSH 图标王.00419D08
00405AA3   ?  68 D08B4000   PUSH 图标王.00408BD0
00405AA8   ?  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00405AAE   ?  50            PUSH EAX
00405AAF   .  64:8925 00000>MOV DWORD PTR FS:[0],ESP

这时,使用OllyDump插件进行脱壳即可。

 

注意的是,并不是程序刚刚运行到程序入口点才能够使用OllyDump脱壳,如果一不小心运行过了之后,在脱壳设置时,手动将入口点地址处的数值修改为入口点地址-起始地址即可,如本程序中入口点地址应该是405A99 - 400000 = 5A99

好了,到这里就脱壳完毕了。

 

软件下载:实验程序----图标王

 

在此感谢图标王编写作者~
 

手脫 -- PECompact 2.x -> Jeremy Collake
创造神话,实现梦想!
08-13 3751
手脫 -- PECompact 2.-> Jeremy CollakePEID: PECompact 2.-> Jeremy Collake脱壳工具下载有专用的脱壳工具,这里做为练手。OD载入加了壳的程序.入口点: --- 这里很怪如果你F8走, 走到00401016 就会飞1.先忽略所有异常.2. F8 行两步 , 这里可以用ESP定律00401000 >  B8 DC2B4100   
快速脱PECompact_2.x_-_Jeremy_Collake
07-25
快速脱PECompact_2.x_-_Jeremy_Collake教程
珊瑚虫QQ外挂3.06脱壳
~CharmSky~
04-20 1376
1.CoralQQ.exe用peid查,显示是PECompact 2.-> Jeremy Collake的壳用OD载入后停在00401000     B8 D4A14300         mov eax,CoralQQ.0043A1D4       F8单步运行00401005     50                  push eax00401006     64:FF35 0000
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
12-31
一次脱PECompact 2.x - Jeremy Collake壳的记录.doc
脱壳第二讲,手动脱壳PECompact 2.x
weixin_30664051的博客
10-26 371
              脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳,先查壳. 发现是这个壳 利用Esp定律,脱掉这个壳. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析...
语音脱PECompact 2.x - Jeremy Collake的壳
07-29
语音脱PECompact 2.x - Jeremy C语音脱PECompact 2.x - Jeremy Collake的壳ollake的壳
pecompact 2.x-3.x 最新脱壳
11-28
标题 "pecompact 2.x-3.x 最新脱壳机" 指向的是一个专门针对 PECompact 2.x 至 3.x 版本压缩壳的脱壳工具。PECompact 是一种流行的可执行文件压缩和保护技术,它用于减小程序体积并提供一定程度的反调试和反逆向工程...
PEcompact脱壳教程.exe
08-02
PEcompact ver.2.78a ~ 3.0.3.9 是一个压缩壳,压缩壳可以用到恒大的ESP定律 ESP上点击右键选择 HW。。。 下硬件断点 当然,你也可以手动 F9运行一次看看 004654B3 83C4 04 add esp,0x4 到了add ESP 可以F8往下...
PECompact脱壳工具
04-18
很不容易找到的,最新版的,,可以一试哈,能脱PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能脱的壳,,我都用过了,强烈建议试用
脱一个PECompact2.X的壳
enolaZ的专栏
10-10 1789
RamSmash 手动脱壳+破解作者:enolaZ软件说明:这个软件是优化内存用的,注册与未注册在功能上没有区别,但未注册版本会每小时弹出一个要求注册的NAG窗口,当选择REGISTER NOW的BUTTON后会打开注册网页(有时好象是一堆。。)破解目的:手动脱壳去掉该NAG窗口声明: 本文纯属学习交流,请不要随意散布或用于商业用途。在下菜鸟一只,欢迎各位高手批评指教 用OD加载,停在入口
专门脱 PECompact 壳的脱壳工具
01-05
UnPECompact 1.32 专门脱 PECompact 壳的脱壳工具。支持 PECompact 1.69 版本的壳。
手动PeCompact 2.20壳实战-
07-15
手动PeCompact 2.20壳实战的分析文档和脱壳后完美运行的程序,这个练习的程序也是吾爱破解论坛培训第一课的选修作业四
脫殼工具PECompact 2[1].x-3.x 免安裝版
07-06
脫殼工具PECompact 2[1].x-3.x 免安裝版
壳学习一:PECompact 2.x 加壳脱壳
禾苗雨的专栏
02-06 3204
壳学习一:PECompact 2.x 加壳脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-51、加壳过程自动动手编写一个简单的窗体程序NullForm.exe。使用PECompact2.7加壳(按默认选项),生成已加壳程序NullFormPe.exe.原始文件与加
PEcompact 3.X 脱壳
weixin_34176694的博客
10-21 316
本文思路主要来自于 这篇帖子(https://www.52pojie.cn/thread-682776-1-1.html) 这次拿exescope当作例子。 用x64dbg进行调试,来到401000 F8两次到401000D 此时给esp所指的内存下硬件访问断点 然后一路F9直到来到这 不远处会出现 F2下断点 F9到达OEP 此时就可以用scylla dump ...
脱壳-PeCompact(2.20)
谢绝(无视)留言与私信
02-13 992
前言脱壳练习, PeCompact是压缩壳查壳PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
PECompact 2.5脱壳
吖吖狼 的专栏
01-03 1311
文章来源于黑鹰教程 PECompact 2.5 Retail -> Jeremy Collake 设置Ollydbg忽略所有的异常选项。 od载入 01001000 N>  B8 90BA0101     mov eax,NOTEPAD.0101BA90 01001005     50              push eax
脱壳-PECompact v1.66
谢绝(无视)留言与私信
02-01 1068
前言在练习脱壳. 这个壳特点: * 在OEP处少代码, 需要自己在OEP处补齐. 少的代码在OEP之前都能看到. * 在OEP处脱壳后, ImpRec找不到IAT. 需要自己搜索指令来找到IAT项.记录查壳Detect It Easy => Borland Delphi(-)[-] PEID => 什么都没找到 * RDG => PECompact v1.66查找OEP用ES
如何脱壳PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
Jack_Sparrw
09-20 3979
 我是个初学者,第一次写破文,有错误之处,请大虾们指出,谢谢!从www.cpzj.zj.com 下载完QQsee,解压后发现只有一个主程序qqsee.exe用PEid查了一下:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]试过了很多脱壳工具,包括有名的Procdump,脱不掉.郁闷 T_T(看来还要学学脱壳)。没办法,不能来硬的~~换个方法吧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值