首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 关于脱PECompact 1.68 - 1.84 的一些疑问 0.00雪花
发表于: 2008-3-26 14:13 3534

[旧帖] 关于脱PECompact 1.68 - 1.84 的一些疑问 0.00雪花

精华路径 活跃值
2008-3-26 14:13
3534
小菜我刚接触脱壳,就看了几个视频教程(动画吧的),看到第6课时,脱得是这个PECompact 1.68 - 1.84 的壳,可我实际运行时却和录像里不一样。到这:
0040D2AA   /74 07           JE SHORT PECompac.0040D2B3
0040D2AC   |8BC8            MOV ECX,EAX
0040D2AE   |5E              POP ESI
0040D2AF   |5F              POP EDI
0040D2B0  ^|EB 9B           JMP SHORT PECompac.0040D24D//这里往回跳
0040D2B2   |B9 E8000000     MOV ECX,0E8//按说应该在这按F4,可按了程序就运行了
0040D2B7    005D 81         ADD BYTE PTR SS:[EBP-7F],BL
0040D2BA    ED              IN EAX,DX                                ; I/O 命令

而录像里就没遇到我这情况。
我又搜了些其他的教程
有一个说
0040624E    AD              LODS DWORD PTR DS:[ESI]
0040624F    85C0            TEST EAX,EAX
00406251    0F84 9B000000   JE ex3.004062F2     //在这里ENTER,跟过去
00406257    8BD0            MOV EDX,EAX
00406259    0395 E6904000   ADD EDX,DWORD PTR SS:[EBP+4090E6]
这一步不懂。
而且整个过程也没遇到我这情况。(这是地址938K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3y4Z5K9h3&6S2M7s2W2Y4i4K6u0W2j5$3!0E0i4K6u0r3M7X3g2V1K9i4u0W2j5%4c8Q4x3X3g2H3K9s2m8Q4x3@1k6@1K9h3c8Q4x3@1b7#2y4U0x3%4i4K6t1$3k6$3!0@1L8#2)9K6c8r3I4S2M7%4c8H3L8%4y4@1i4@1g2r3i4@1u0o6i4K6R3&6

又找了个在这
0054F295 5E POP ESI
0054F296 5F POP EDI
0054F297 ^ EB C5 JMP SHORT wb86.0054F25E  ==>走到这里会跳到前面,把光标移动到下一行,F4跳过时程序会直接运行,所以还得单步运行,走到上面的0054F262处会跳到后面去了(地址712K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4F1M7h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6#2)9J5c8U0t1H3x3o6g2Q4x3X3b7H3z5q4)9J5k6o6l9#2i4K6u0r3j5e0l9&6y4e0p5#2y4U0S2Q4x3X3b7K6i4K6u0W2M7$3S2@1L8h3I4Q4c8f1k6Q4b7V1y4Q4z5o6V1`.
照着做了,居然脱出来了。
为什么同一种壳脱时遇到的情况不同呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
精华路径
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
刚又试了几次,发现还有几个这样的地方。
0040D2AE    5E              POP ESI
0040D2AF    5F              POP EDI
0040D2B0  ^ EB 9B           JMP SHORT PECompac.0040D24D//这里
0040D2B2    B9 E8000000     MOV ECX,0E8                              ;

0040D36A    83E1 03         AND ECX,3
0040D36D    F3:AA           REP STOS BYTE PTR ES:[EDI]
0040D36F    5F              POP EDI
0040D370  ^ EB 87           JMP SHORT PECompac.0040D2F9//这里
0040D372    0F6800          PUNPCKHBW MM0,QWORD PTR DS:[EAX]
0040D375    40              INC EAX

0040D3C1    47              INC EDI
0040D3C2    43              INC EBX
0040D3C3  ^ EB DA           JMP SHORT PECompac.0040D39F//这里跳不出来
0040D3C5    B8 8B470290     MOV EAX,9002478B
0040D3CA    90              NOP
0040D3CB    90              NOP
0040D3CC    90              NOP
0040D3CD    90              NOP
0040D3CE    90              NOP
0040D3CF    90              NOP
0040D3D0    90              NOP
0040D3D1    90              NOP
0040D3D2    90              NOP
0040D3D3    90              NOP
0040D3D4    90              NOP
0040D3D5    90              NOP
0040D3D6    2BC3            SUB EAX,EBX//我在这按的F4

这个地方用那方法不行,老循环。(其他的好像循环2次就跳出来了)
我就在0040D3D6    2BC3            SUB EAX,EBX
这按F4,后边的就好弄了。
这种方法(光标下移一行)什么时候用是怎么判断的,是靠自己试出来的吗,还是又什么规律?
2008-3-26 14:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回