PECompact 2.5 Retail的壳,用PeCompact OEP Finder 脚本到伪OEP:
0117C519 68 6D4FD27D push 7DD24F6D (是不是VMP?)
0117C51E E8 1D7B0000 call 01184040
0117C523 30E0 xor al, ah
0117C525 80B0 80C0A0C0 4>xor byte ptr [eax+C0A0C080], 40
0117C52C 8070 A0 0C xor byte ptr [eax-60], 0C
0117C530 B8 C247DCC8 mov eax, C8DC47C2
0117C535 58 pop eax
0117C536 C6 ??? ; 未知命令
0117C537 F4 hlt
0117C538 6D ins dword ptr es:[edi], dx
0117C539 F6 ??? ; 未知命令
0117C53A 4F dec edi
0117C53B 16 push ss
0117C53C EA CAF36882 E1D>jmp far D5E1:8268F3CA
0117C543 50 push eax
0117C544 80A2 C536270A 8>and byte ptr [edx+A2736C5], 87
0117C54B FC cld
0117C54C F5 cmc
0117C54D 879A 99500560 xchg dword ptr [edx+60055099], ebx
0117C553 B5 21 mov ch, 21
根据特征,查找OEP:(无需解码就可以找到OEP,不知道为什么?是不是不用解码就可以??)
00C8ECF4 55 push ebp
00C8ECF5 8BEC mov ebp, esp
00C8ECF7 83C4 F0 add esp, -10
00C8ECFA B8 ECCFC800 mov eax, 00C8CFEC
00C8ECFF E8 EC8F77FF call 00407CF0
00C8ED04 A1 38CDC800 mov eax, dword ptr [C8CD38]
00C8ED09 E8 86E0FFFF call 00C8CD94
00C8ED0E E8 7D6477FF call 00405190
00C8ED13 90 nop
00C8ED14 0000 add byte ptr [eax], al
00C8ED16 0000 add byte ptr [eax], al
00C8ED18 0000 add byte ptr [eax], al
00C8ED1A 0000 add byte ptr [eax], al
00C8ED1C 0000 add byte ptr [eax], al
00C8ED1E 0000 add byte ptr [eax], al
00C8ED20 0000 add byte ptr [eax], al
00C8ED22 0000 add byte ptr [eax], al
00C8ED24 0000 add byte ptr [eax], al
00C8ED26 0000 add byte ptr [eax], al
00C8ED28 0000 add byte ptr [eax], al
新建EIP,然后DUMP,修正入口地址,此后查壳为Borland Delphi 6.0 - 7.0
无壳,但是不能运行,提示初始化失败,请教高人,我应该如何操作?
[课程]Linux pwn 探索篇!
