[原创]PECompact2.x脱壳--绿鹰PC万能精灵3.76主程序-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]PECompact2.x脱壳--绿鹰PC万能精灵3.76主程序

发表于: 2005-2-14 09:07 5679

[原创]PECompact2.x脱壳--绿鹰PC万能精灵3.76主程序

农夫

2005-2-14 09:07

5679

【脱壳作者】农夫

【脱壳工具】 Olldbg1.10 、Peid0.92、ImportREC1.6

【脱壳平台】 win2000 sp4

【软件名称】绿鹰PC万能精灵3.76

【下载页面】 http://www.onlinedown.net/soft/6396.htm

【软件大小】 1198KB

【开发商】 http://www.cnlvker.com

【软件介绍】这是一款集系统优化，病毒清理，黑客防御，OICQ娱乐于一体的综合软件。该软件将不同的功能分成不同的精灵管理，
其功能涵盖了个人电脑用户日常需求，其中包括：清除各种流行木马及病毒的[守卫精灵]，实时监控木马进程及端口－功能判断，
可杀未来木马；防止网站恶意修改及任意脚本病毒的[IE反修改精灵]；增强系统安全，优化系统配置的[WINDOWS精灵]；功能强劲的[OICQ辅助精灵]。

【脱壳声明】只供学习和交流，没有其他目的。失误之处敬请诸位大侠赐教！

【脱壳过程】

用PEid查看为PECompact 2.x 壳的 Jeremy Collake，目前对PECompact2.x的壳还没有专门的脱壳机，
正好最近看了些脱壳教程，参照fly大侠的方法手动脱之。

用Ollydbg加载万能精灵主程序adam.exe,将OD设置为忽略所有的异常选项。

进入OD后停在这：

00435CD5 a> $ B8 44725A00 mov eax,adam.005A7244
00435CDA > 50             push eax
00435CDB . 64:FF35 00000000 push dword ptr fs:[0]
00435CE2 . 64:8925 00000000 mov dword ptr fs:[0],esp
00435CE9 . 33C0          xor eax,eax
00435CEB . 8908          mov dword ptr ds:[eax],ecx

下断：bp VirtualFree

77E7E2D8 B8 E2E77755       mov eax,5577E7E2
77E7E2DD 8BEC             mov ebp,esp
77E7E2DF FF75 10          push dword ptr ss:[ebp+10]
77E7E2E2 FF75 0C          push dword ptr ss:[ebp+C]
77E7E2E5 FF75 08          push dword ptr ss:[ebp+8]
77E7E2E8 6A FF             push -1
77E7E2EA E8 04000000       call kernel32.VirtualFreeEx
77E7E2EF 5D                pop ebp
77E7E2F0 C2 0C00          retn 0C

中断后取消断点，按F8，经过两次retn后，返回005A72F1处：

005A72EF FFD7             call edi
005A72F1 8985 23120010    mov dword ptr ss:[ebp+10001223],eax ; adam.<ModuleEntryPoint>
005A72F7 8BF0             mov esi,eax
005A72F9 59                pop ecx
005A72FA 5A                pop edx
005A72FB 03CA             add ecx,edx
005A72FD 68 00800000       push 8000
005A7302 6A 00             push 0
005A7304 57                push edi
005A7305 FF11             call dword ptr ds:[ecx]
005A7307 8BC6             mov eax,esi
005A7309 5A                pop edx
005A730A 5E                pop esi
005A730B 5F                pop edi
005A730C 59                pop ecx
005A730D 5B                pop ebx
005A730E 5D                pop ebp
005A730F FFE0             jmp eax <------------------------- ;这里就是飞向光明之巅的入口了！

按F8直接跳进去，到这里:

00435CD5 a> $ 55          push ebp
00435CD6 ? 8BEC          mov ebp,esp
00435CD8 ? 6A FF          push -1
00435CDA > 68 B8064600    push adam.004606B8
00435CDF ? 68 50964300    push adam.00439650
00435CE4 ? 64:A1 00000000 mov eax,dword ptr fs:[0]
00435CEA ? 50             push eax
00435CEB . 64:8925 00000000 mov dword ptr fs:[0],esp
00435CF2 . 83EC 58       sub esp,58

打开OD的插件OllyDump,Dump！保存为adam_.exe,但是Dump的文件还不能运行，提示无法定位程序入口点。

还要使用ImportREC修复输入表：

启动绿鹰PC万能精灵主程序，打开ImportREC，选取adam进程，
按“自动搜索IAT”，OEP显示：00035CD5, RAV:0005AFFC, 大小:000006C8.
按“获取输入表”，IAT信息载入成功!
按“修复抓取文件”，选取adam_.exe，保存为adam__.exe。
用PEid查看，显示为：Microsoft Visual C++ 6.0。
运行adam__.exe，功能OK！
脱壳成功！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (10)
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 2 楼不知道是否脱得正确，请fly帮忙看看。 2005-2-14 09:24 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 3 楼这早就有人写过，哪是什么原创。 2005-2-14 09:38 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 4 楼最初由 David 发布这早就有人写过，哪是什么原创。声明：别人写过的我没看过，绿鹰PC万能精灵3.76的脱壳，我在论坛里翻了一下，没看到；看雪的论坛精华我也看了一下，也没有。我是看了fly的教程，在网上正好找的这个软件（在调试论坛我还发了破解方法的求助）。我弄破解没多久，在这里注册也没几天，我没有看到过这个软件的破解。但只要没看过别人的破解而作的破解，我认为都应该算是原创。 2005-2-14 09:54 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 5 楼最初由 David 发布这早就有人写过，哪是什么原创。既然别人写过了，我在调试论坛发的破解方法的求助，怎么不见你给一个链接呢？我发了个脱文，你就在这里说废话。 2005-2-14 10:15 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼可以这样脱 2005-2-14 16:50 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 7 楼谢谢fly，向你请教个问题，我在调试论坛里说的那种现象，如何下断点，能否指点一二？ 2005-2-14 18:40 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼谈不上可以指点具体情况具体分析输入注册码后试试内存搜索，使用内存断点看看程序哪里对注册码处理 2005-2-14 18:48 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 9 楼谢谢，我试试。 2005-2-14 18:58 0
xiaoxinxin 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 99 粉丝 0 关注私信	xiaoxinxin 10 楼看看原来的文章，好象有个CCG的人写过简便脱法。进入OD后停在这：00435CD5。按F8直接跳进去，到这里:00435CD5。 2005-2-16 14:42 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 11 楼 he eip 2005-8-8 21:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

农夫

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 2 楼不知道是否脱得正确，请fly帮忙看看。 2005-2-14 09:24 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 3 楼这早就有人写过，哪是什么原创。 2005-2-14 09:38 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 4 楼最初由 David 发布这早就有人写过，哪是什么原创。声明：别人写过的我没看过，绿鹰PC万能精灵3.76的脱壳，我在论坛里翻了一下，没看到；看雪的论坛精华我也看了一下，也没有。我是看了fly的教程，在网上正好找的这个软件（在调试论坛我还发了破解方法的求助）。我弄破解没多久，在这里注册也没几天，我没有看到过这个软件的破解。但只要没看过别人的破解而作的破解，我认为都应该算是原创。 2005-2-14 09:54 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 5 楼最初由 David 发布这早就有人写过，哪是什么原创。既然别人写过了，我在调试论坛发的破解方法的求助，怎么不见你给一个链接呢？我发了个脱文，你就在这里说废话。 2005-2-14 10:15 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼可以这样脱 2005-2-14 16:50 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 7 楼谢谢fly，向你请教个问题，我在调试论坛里说的那种现象，如何下断点，能否指点一二？ 2005-2-14 18:40 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼谈不上可以指点具体情况具体分析输入注册码后试试内存搜索，使用内存断点看看程序哪里对注册码处理 2005-2-14 18:48 0
农夫雪币： 226 活跃值： (155) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	农夫 3 9 楼谢谢，我试试。 2005-2-14 18:58 0
xiaoxinxin 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 99 粉丝 0 关注私信	xiaoxinxin 10 楼看看原来的文章，好象有个CCG的人写过简便脱法。进入OD后停在这：00435CD5。按F8直接跳进去，到这里:00435CD5。 2005-2-16 14:42 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 11 楼 he eip 2005-8-8 21:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复