[求助][求助]请教PECompact 2.x -> Jeremy Collake 脱壳的思路-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
疯子雪币： 2322 活跃值： (573) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 9 关注私信	疯子 4 2 楼 he ep(壳的入口) F9 再dump就可以了 2009-6-19 23:51 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 3 楼我新手能否针对这个文件把你脱壳的方法详细的告诉我谢谢了. 2009-6-20 00:32 0
隐峰雪币： 330 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 1 关注私信	隐峰 4 楼入口->F8 2步 -> DD ESP 下断 -> F9 4次 ->F8->OEP 2009-6-20 00:40 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 5 楼新手愚昧楼上的方法操作下来还是没有成功..... 下断后 F9 无法执行4次... 2009-6-20 22:38 0
honkerbase 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	honkerbase 6 楼脱壳后的文件使用ESP定律既可上传的附件： dump.rar （295.36kb，28次下载） 2009-6-21 11:13 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 7 楼感谢太感谢了 2009-6-24 09:35 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 8 楼文件下载后用eXeScope 编辑无法保存用PE Explorer编辑后保存提示错误汉化后的文件无法运行. 有大虾指点一二吗 ? 2009-6-27 11:17 0
yywolf 雪币： 202 活跃值： (13) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	yywolf 9 楼刚学会收拾这个壳！ ECompact 2.x -> Jeremy Collake 脱壳小记 od载入 0046A000 > $ B8 D01C4800 mov eax, 00481CD0 一路f8 省的走弯路到这里 7C958567 E8 23E8FFFF call ZwContinue f7进入到这里 7C956D8F > B8 22000000 mov eax, 22 f8向下两次到这里 f7进入 7C956D99 FF12 call dword ptr [edx] ; ntdll.KiFastSystemCall 一路f8返回到这里到程序空间 00481CF3 B8 550A48F0 mov eax, F0480A55 现在就只管向下用f4忽略向回的跳转直到 0047E9FE 68 00400000 push 4000 呵呵这里我们马上就要出来了慢慢走别着急！好到了就是这里一个跨段的大跳转！ 0047EA1F - E9 F83BF8FF jmp 0040261C 哈哈原来oep在这里 dump 0040261C 68 1C4C4000 push 00404C1C ; ASCII "VB5!6&vb6chs.dll" 完成上传的附件：文件.zip （603.83kb，28次下载） 2009-6-27 15:16 0
yywolf 雪币： 202 活跃值： (13) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	yywolf 10 楼对不起那个详细方法不是针对你那个文件的！不过我用那个方法将你的文件脱壳！ 2009-6-27 15:17 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 11 楼感谢楼上的文件我已经下载了继续修改不知道文件是否会出错 2009-6-29 09:06 0
overlordme 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	overlordme 12 楼用ESP定律几步就出来了，只是一个加密而已开始HR 12FFC0下断会重新走到程序开始的地方，这个地址跟你用OD载入时停留的地址是一样的但是代码已经解过密了上传的附件： DWRCST111.rar （61.96kb，7次下载） 2009-6-30 15:46 0
jassy 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	jassy 13 楼 The files have been unpacked. 上传的附件： dwrc.zip （322.06kb，4次下载） 2009-7-2 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
疯子雪币： 2322 活跃值： (573) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 9 关注私信	疯子 4 2 楼 he ep(壳的入口) F9 再dump就可以了 2009-6-19 23:51 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 3 楼我新手能否针对这个文件把你脱壳的方法详细的告诉我谢谢了. 2009-6-20 00:32 0
隐峰雪币： 330 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 1 关注私信	隐峰 4 楼入口->F8 2步 -> DD ESP 下断 -> F9 4次 ->F8->OEP 2009-6-20 00:40 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 5 楼新手愚昧楼上的方法操作下来还是没有成功..... 下断后 F9 无法执行4次... 2009-6-20 22:38 0
honkerbase 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	honkerbase 6 楼脱壳后的文件使用ESP定律既可上传的附件： dump.rar （295.36kb，28次下载） 2009-6-21 11:13 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 7 楼感谢太感谢了 2009-6-24 09:35 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 8 楼文件下载后用eXeScope 编辑无法保存用PE Explorer编辑后保存提示错误汉化后的文件无法运行. 有大虾指点一二吗 ? 2009-6-27 11:17 0
yywolf 雪币： 202 活跃值： (13) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	yywolf 9 楼刚学会收拾这个壳！ ECompact 2.x -> Jeremy Collake 脱壳小记 od载入 0046A000 > $ B8 D01C4800 mov eax, 00481CD0 一路f8 省的走弯路到这里 7C958567 E8 23E8FFFF call ZwContinue f7进入到这里 7C956D8F > B8 22000000 mov eax, 22 f8向下两次到这里 f7进入 7C956D99 FF12 call dword ptr [edx] ; ntdll.KiFastSystemCall 一路f8返回到这里到程序空间 00481CF3 B8 550A48F0 mov eax, F0480A55 现在就只管向下用f4忽略向回的跳转直到 0047E9FE 68 00400000 push 4000 呵呵这里我们马上就要出来了慢慢走别着急！好到了就是这里一个跨段的大跳转！ 0047EA1F - E9 F83BF8FF jmp 0040261C 哈哈原来oep在这里 dump 0040261C 68 1C4C4000 push 00404C1C ; ASCII "VB5!6&vb6chs.dll" 完成上传的附件：文件.zip （603.83kb，28次下载） 2009-6-27 15:16 0
yywolf 雪币： 202 活跃值： (13) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	yywolf 10 楼对不起那个详细方法不是针对你那个文件的！不过我用那个方法将你的文件脱壳！ 2009-6-27 15:17 0
zhouth 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	zhouth 11 楼感谢楼上的文件我已经下载了继续修改不知道文件是否会出错 2009-6-29 09:06 0
overlordme 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	overlordme 12 楼用ESP定律几步就出来了，只是一个加密而已开始HR 12FFC0下断会重新走到程序开始的地方，这个地址跟你用OD载入时停留的地址是一样的但是代码已经解过密了上传的附件： DWRCST111.rar （61.96kb，7次下载） 2009-6-30 15:46 0
jassy 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	jassy 13 楼 The files have been unpacked. 上传的附件： dwrc.zip （322.06kb，4次下载） 2009-7-2 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复