|
PECompact 2.06加壳的记事本和主程序的脱壳和伪破解
【脱文标题】 PECompact 2.51加壳的记事本和主程序的脱壳和伪破解 【脱文作者】 sailor 【作者邮箱】 【作者主页】 【使用工具】 Ollydbg 【破解平台】 WinXP 【软件名称】 PECompact 2.51 【下载地址】 http://www.bitsum.com/files/pec2setup.zip 【软件简介】 PECompact是一个能压缩可执行文件的工具,通过压缩代码、数据、相关资源使压缩能达到100%,由于在运行时不需要恢复磁盘上压缩后的数据,所以与没有压缩的程序在运行时没有明显的速度差异,在某种程度上还有所改善。 【软件大小】 916K 【加壳方式】 PECompact 2.51 【破解声明】 -------------------------------------------------------------------------------- 【破解内容】 先看看Win98的记事本。 OD载入 004010CC n> B8 CCE84000 mov eax,notepad.0040E8CC <--停在这里,下hw 12ffc0,F9运行 004010D1 50 push eax 004010D2 64:FF35 00000000 push dword ptr fs:[0] <--中断在这(看状态栏“硬件中断1位于notepad.004010d2 -EIP”),F9继续 004010D9 64:8925 00000000 mov dword ptr fs:[0],esp 004010E0 33C0 xor eax,eax 004010E2 8908 mov dword ptr ds:[eax],ecx 0040E8FF 53 push ebx <--中断在这,F9继续 0040E900 51 push ecx 0040E901 57 push edi 0040E902 56 push esi 004010C7 000D 0A000055 add byte ptr ds:[5500000A],cl 004010CD 8BEC mov ebp,esp <--中断在这。这里就是OEP了(你再按一次F9程序就运行了!) 004010CF 83EC 44 sub esp,44 004010D2 56 push esi 用插件ollydump脱壳吧! 其实上面那个55才是真正入口。 运行脱壳程序,正常运行,记事本脱壳完毕。 用PEiD显示pec2exe为 PECompact 2.x -> Jeremy Collake 继续努力脱掉它,方法同上。 00401000 P> B8 20F14200 mov eax,PEC2_abc.0042F120 <--停在这里,下hw 12ffc0,F9运行 00401005 50 push eax 00401006 64:FF35 00000000 push dword ptr fs:[0] <--中断在这,F9继续 0040100D 64:8925 00000000 mov dword ptr fs:[0],esp 0042F153 53 push ebx <--中断在这,F9继续 0042F154 51 push ecx 0042F155 57 push edi 0042F156 56 push esi 0041A140 59 pop ecx 0041A141 C3 retn 0041A142 6A 18 push 18 0041A144 68 E87E4200 push PEC2_abc.00427EE8 <--中断在这。这里就是OEP了 0041A149 E8 22020000 call PEC2_abc.0041A370 0041A14E BF 94000000 mov edi,94 用插件ollydump脱壳吧! BTW:OEP要修改成1A142才能脱壳后正常运行。 上面的记事本程序则无论改与不改都可以正常运行(不知道为什么,请大虾赐教!)。 运行脱壳程序,正常运行,脱壳完毕。 去除7天的试用期,基本上与weiyi75[Dfcg]写的一致 但用PEiD显示pec2gui.exe为 Microsoft Visual C++ 7.0 [Debug] 没有加壳 用OD载入,可以直接查找到 ASCII "PECompact's continued development requires ........ 【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整! 本文基本上改自weiyi75[Dfcg]的文章!嗳,严重剽窃。赶紧闪。 |
|
|
|
[求助]问个菜鸟问题
,,,,, |
|
[求助]问个菜鸟问题
郁闷!我为什么不能发布新主题呀! 只好在这里跟着别人后面借用一下场地罗。 问个很菜问题? 不知为什么,总是中断在kernel32.IsDebuggerPresent,我关闭OD再重新运行还是这样,受不了了。 我并没有打开这个断点呀。如何关闭呢? 原来在trw2000中,下个bc *。在OD中如何关闭所有的断点呢? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值